Specjaliści z firmy Dr.Web ostrzegają internautów przed kolejną już wersją oprogramowania malware typu BackDoor.BlackEnergy. Media na przełomie lipca 2012 szumnie informowały o zamknięciu głównych źródeł – serwerów BlackEnergy, a tym samym całkowitemu unieszkodliwieniu botneta jesienią ubiegłego roku. Jak się jednak okazało w tym miesiącu wykryto nową modyfikację wspomnianego już botnetu.
Jeszcze całkiem niedawno botnet BackDoor.BlackEnergy był odpowiedzialny za większość spamu generowanego w internecie w czasie swojej największej aktywności. Według ekspertów potrafił on wysłać rekordową ilość 18 miliardów wiadomości dziennie !!! Hakerzy korzystając z ogromnego potencjału komputerów zombie koncentrowali się głównie na wysyłaniu spamu. Podstawą funkcjonowania programów tego typu są pliki konfiguracyjne oparte o format xml, pochodzące z serwerów kontroli.
Wszystko wskazuje na to, że właściciele BackDoor.BlackEnergy.36 używali również wcześniejszych wersji tego złośliwego oprogramowania. Założenie to wynika z faktu, że BackDoor.BlackEnergy.36 wykorzystuje ten sam klucz kodowania danych, który był używany w niektórych botnetach BlackEnergy, kontrolowanych z serwerów zamkniętych latem 2012 r.
W odróżnieniu od poprzednich wariantów, plik konfiguracyjny BackDoor.BlackEnergy.36 przechowywany jest w zakodowanej postaci w oddzielnej sekcji biblioteki DLL, której kod w czasie działania Trojana wstrzykiwany jest w kluczowe procesy systemowe, takie jak svchost.exe czy explorer.exe. Poza tym, w wersji BackDoor.BlackEnergy.36 zmieniony został również protokół sieciowy, za pomocą którego następuje wymiana danych z serwerem kontroli.
Jak do tej pory, analitycy wirusów z firmy Doctor Web wykryli kilkanaście serwerów kontroli, z których hakerzy starają się stworzyć kolejny botnet do masowej dystrybucji spamu. Specjaliści z Doctor Web nieustannie monitorują aktywność BackDoor.BlackEnergy.36.
źródło.
