Чем опасен новый троян Win32/64:Napolar

Недавно было выявлено новое вредоносное ПО и добавлено в антивирусные базы как Win32/64: Napolar. Новый троян был представлен не через хакерские форумы, как мы привыкли, он был запущен через сайт, проиндексированный в основных поисковых системах. Сайт называется http://solarbot.net и представляет свои предложения на профессиональном уровне:

Для трояна Win32/64: Napolar используется канал связи между процессами, называемый \\.\pipe\napSolar. Наличие строк с символами, как "CHROME.DLL", "OPERA.DLL", "trusteer", "data_inject", не вызывает никаких сомнений, что Trojan и Solarbot совпадают. 

Дроппер

Napolar имеет возможности по краже учетных данных аккаунтов Facebook, операторы ботнета могут повторно использовать эти данные для отправки сообщений контактам скомпрометированного пользователя. Начальный двоичный файл приходит в виде SFX-архива с таким именами, как:

Photo_032.JPG_www.facebook.com.exe

Photo_032.JPG_www.facebook.com.exe

Photo_014-WWW.FACEBOOK.COM.exe

который включает троянский дроппер и отвлекающее изображение девушек:

В заявлении автора говорится, что Solarbot написана в Lazarus IDE для Free Pascal. 

Структура основного исполняемого выглядит следующим образом:

Распространяется троян по меньшей мере на нескольких сотен компьютеров в день. Наиболее пострадавшие страны расположены в Южной и Центральной Америке: Колумбия, Венесуэла, Перу, Мексика и Аргентина; азиатские страны: Филиппины, Вьетнам; Польша в Европе:

Главная возможность Win32/Napolar - способность похищать информацию из форм веб-страниц, которые отображаются в браузере. Троянская программа содержит специальный код по обнаружению security-продукта Trusteer, который дополняет браузер специальными функциями защиты. Если при перечислении запущенных в системе процессов будет найден процесс, который содержит в своем имени «trusteer», то он будет принудительно завершен.

Взаимодействие с командным C&C-сервером Win32/Napolar осуществляет через протокол HTTP. Первое отправленное ботом на сервер сообщение содержит следующую информацию:

• Версию бота
• Имя пользователя от текущей учетной записи
• Имя компьютера
• Идентификатор бота (Bot ID)
• Версию ОС
• Тип системы (x32/x64).

Далее сервер отвечает заданиями боту, которые он должен выполнить. Эти команды шифруются с использованием RC4, при этом Bot ID используется в качестве ключа для шифрования. Бот поддерживает множество команд:

•  Кража информации
•  SOCKS прокси
•  DoS-атака
•  Загрузка дополнительных модулей
•  Исполнение модулей
•  Обновление бота

По крайней мере, семь различных C&C-серверов заражены Win32/Napolar. Большинство из них оставались онлайн только несколько дней. Затем оператор переместил их в новую сеть. Вероятно, это связано с тем, что бот активно используется "в дикой природе", т. е. имеет большое количество установок на компьютеры пользователей. Список доменов обнаруженных C&C-серверов:

• dabakhost.be
• terra-araucania.cl
• xyz25.com
• yandafia.com
• elzbthfntr.com
• alfadente.com.br

В конфигурационных файлах вредоноса были обнаружены ссылки на TOR. Вероятно, эта функция будет задействована позднее для использования преимуществ этой анонимной сети при сетевом взаимодействии.

Оставьте свой комментарий!