«Доктор Веб» обнаружил ботнет, атакующий российские банки

Понедельник, 14 Ноября 2016 г. 17:10 + в цитатник

14 ноября 2016 года

Специалисты компании «Доктор Веб» зафиксировали серию DDoS-атак на сайты российских банков «Росбанк» и «Росэксимбанк». Для этого злоумышленники используют троянца BackDoor.IRC.Medusa.1.

BackDoor.IRC.Medusa.1 — вредоносная программа, относящаяся к категории IRC-ботов. Так называют троянцев, которые способны объединяться в ботнеты и получать команды с помощью протокола обмена текстовыми сообщениями IRC (Internet Relay Chat). Подключаясь к определенному чат-каналу, IRC-боты ожидают от злоумышленников специальных директив. Основное предназначение BackDoor.IRC.Medusa.1 заключается в выполнении атак на отказ в обслуживании (DDoS-атак). Вирусные аналитики компании «Доктор Веб» предполагают, что именно эта вредоносная программа использовались в ходе массированных атак на Сбербанк России, о которых различные СМИ сообщали в последнее время.

BackDoor.IRC.Medusa.1 может выполнять несколько типов DDoS-атак, а также по команде злоумышленников загружать и запускать на зараженной машине исполняемые файлы. На иллюстрации ниже представлено опубликованное вирусописателями руководство оператора бот-сети, созданной с использованием троянца BackDoor.IRC.Medusa.1, которое содержит перечень поддерживаемых троянцем команд:

В настоящее время киберпреступники активно продвигают BackDoor.IRC.Medusa.1 на подпольных форумах. Создатели троянца утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 20 000-25 000 запросов в секунду с пиковым значением в 30 000. В качестве доказательства они приводят график тестовой атаки на http-сервер NGNIX:

На данный момент на одном из IRC-каналов, контролирующих ботнет BackDoor.IRC.Medusa.1, зарегистрировано 314 активных подключений. Анализ журнала переданных бот-сети команд показывает, что с 11 по 14 ноября 2016 года злоумышленники неоднократно атаковали веб-сайты rosbank.ru («Росбанк»), eximbank.ru («Росэксимбанк»), а также fr.livraison.lu и en.livraison.lu (сеть ресторанов Livraison) и korytov-photographer.ru (частный веб-сайт).

Сигнатура BackDoor.IRC.Medusa.1 добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» продолжают следить за развитием ситуации.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/ySahz9izGL0/

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post402449761/">В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РѕР±РЅР°СЂСѓР¶РёР» Р±РѕС‚РЅРµС‚, Р°С‚Р°РєСѓСЋС‰РёР№ СЂРѕСЃСЃРёР№СЃРєРёРµ Р±Р°РЅРєРё</a><br/>14 РЅРѕСЏР±СЂСЏ 2016 РіРѕРґР°
РЎРїРµС†РёР°Р»РёСЃС‚С‹ РєРѕРјРїР°РЅРёРё В«Р”РѕРєС‚РѕСЂ Р’РµР±В» Р·Р°С„РёРєСЃРёСЂРѕРІР°Р»Рё СЃРµСЂРёСЋ DDoS-Р°С‚Р°Рє РЅР° СЃР°Р№С‚С‹ СЂРѕСЃСЃРёР№СЃРєРёС… Р±Р°РЅРєРѕРІ В«Р РѕСЃР±Р°РЅРєВ» Рё В«Р РѕСЃСЌРєСЃРёРјР±Р°РЅРєВ». Р”Р»СЏ СЌС‚РѕРіРѕ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєРё РёСЃРїРѕР»СЊР·СѓСЋС‚ С‚СЂРѕСЏРЅС†Р° BackDoor.IRC.Medusa.1.
BackDoor.IRC.Medusa.1 вЂ” РІСЂРµРґРѕРЅРѕСЃРЅР°СЏ РїСЂРѕРіСЂР°РјРјР°, РѕС‚РЅРѕСЃСЏС‰Р°СЏСЃСЏ Рє РєР°С‚РµРіРѕСЂРёРё IRC-Р±РѕС‚РѕРІ. РўР°Рє РЅР°Р·С‹РІР°СЋС‚ С‚СЂРѕСЏРЅС†РµРІ, РєРѕС‚РѕСЂС‹Рµ СЃРїРѕСЃРѕР±РЅС‹ РѕР±СЉРµРґРёРЅСЏС‚СЊСЃСЏ РІ Р±РѕС‚РЅРµС‚С‹ Рё РїРѕР»СѓС‡Р°С‚СЊ РєРѕРјР°РЅРґС‹ СЃ РїРѕРјРѕС‰СЊСЋ РїСЂРѕС‚РѕРєРѕР»Р° РѕР±РјРµРЅР° С‚РµРєСЃС‚РѕРІС‹РјРё СЃРѕРѕР±С‰РµРЅРёСЏРјРё IRC (Internet Relay Chat). РџРѕРґРєР»СЋС‡Р°СЏСЃСЊ Рє РѕРїСЂРµРґРµР»РµРЅРЅРѕРјСѓ С‡Р°С‚-РєР°РЅР°Р»Сѓ, IRC-Р±РѕС‚С‹ РѕР¶РёРґР°СЋС‚ РѕС‚ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєРѕРІ СЃРїРµС†РёР°Р»СЊРЅС‹С… РґРёСЂРµРєС‚РёРІ. РћСЃРЅРѕРІРЅРѕРµ РїСЂРµРґРЅР°Р·РЅР°С‡РµРЅРёРµ BackDoor.IRC.Medusa.1 Р·Р°РєР»СЋС‡Р°РµС‚... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post402449761/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Поиск по дневнику

-Подписка по e-mail

-Постоянные читатели

-Статистика

«Доктор Веб» обнаружил ботнет, атакующий российские банки