- 5 лучших генераторов искусственного интеллекта для написания и переписывания любого контента
- Современные технологии в Национальной Баскетбольной Ассоциации
- История Красного Бора Татарстан (Новый Пьяный Бор Елабужского уезда) в статьях
- Программа для поиска драйверов на любое устройство
- Как технология OCR снижает нагрузку на офис
- Как операционная система Windows стала такой популярной
- Продвижение товаров на Wildberries с привлечением внешнего трафика
- Простая программа для управления проектами «Планамайзер»
Чем опасен новый троян Win32/64:Napolar |
Недавно было выявлено новое вредоносное ПО и добавлено в антивирусные базы как Win32/64: Napolar. Новый троян был представлен не через хакерские форумы, как мы привыкли, он был запущен через сайт, проиндексированный в основных поисковых системах. Сайт называется http://solarbot.net и представляет свои предложения на профессиональном уровне: Для трояна Win32/64: Napolar используется канал связи между процессами, называемый \\.\pipe\napSolar. Наличие строк с символами, как "CHROME.DLL", "OPERA.DLL", "trusteer", "data_inject", не вызывает никаких сомнений, что Trojan и Solarbot совпадают.
Дроппер Napolar имеет возможности по краже учетных данных аккаунтов Facebook, операторы ботнета могут повторно использовать эти данные для отправки сообщений контактам скомпрометированного пользователя. Начальный двоичный файл приходит в виде SFX-архива с таким именами, как: Photo_032.JPG_www.facebook.com.exe Photo_032.JPG_www.facebook.com.exe Photo_014-WWW.FACEBOOK.COM.exe который включает троянский дроппер и отвлекающее изображение девушек: В заявлении автора говорится, что Solarbot написана в Lazarus IDE для Free Pascal. Структура основного исполняемого выглядит следующим образом: Распространяется троян по меньшей мере на нескольких сотен компьютеров в день. Наиболее пострадавшие страны расположены в Южной и Центральной Америке: Колумбия, Венесуэла, Перу, Мексика и Аргентина; азиатские страны: Филиппины, Вьетнам; Польша в Европе:
Главная возможность Win32/Napolar - способность похищать информацию из форм веб-страниц, которые отображаются в браузере. Троянская программа содержит специальный код по обнаружению security-продукта Trusteer, который дополняет браузер специальными функциями защиты. Если при перечислении запущенных в системе процессов будет найден процесс, который содержит в своем имени «trusteer», то он будет принудительно завершен.
Взаимодействие с командным C&C-сервером Win32/Napolar осуществляет через протокол HTTP. Первое отправленное ботом на сервер сообщение содержит следующую информацию:
По крайней мере, семь различных C&C-серверов заражены Win32/Napolar. Большинство из них оставались онлайн только несколько дней. Затем оператор переместил их в новую сеть. Вероятно, это связано с тем, что бот активно используется "в дикой природе", т. е. имеет большое количество установок на компьютеры пользователей. Список доменов обнаруженных C&C-серверов:
В конфигурационных файлах вредоноса были обнаружены ссылки на TOR. Вероятно, эта функция будет задействована позднее для использования преимуществ этой анонимной сети при сетевом взаимодействии. Оставьте свой комментарий! Tags:
Похожие статьи: |
Комментарии