Botnet Black.Energy powrócił w nowej wersji

Analitycy z rosyjskiej firmy antywirusowej Doctor Web ostrzegają użytkowników przed kolejną wersją złośliwego oprogramowania typu BackDoor.BlackEnergy. Podczas gdy w ubiegłym roku w lipcu media informowały o zamknięciu głównych serwerów BlackEnergy oraz ich całkowitym unieszkodliwieniu jesienią 2012, w tym miesiącu wykryto nową modyfikację tego botnetu.

Warto przypomnieć, że BackDoor.BlackEnergy to złożone, złośliwe oprogramowanie, wykorzystywane głównie do wysyłania spamu. Umożliwiło ono hakerom stworzenie jednego z największych na świecie botnetów do spamowania, który w okresie najwyższej aktywności wysyłał rekordową ilość 18 miliardów wiadomości dziennie. Podstawą funkcjonowania programów typu BackDoor.BlackEnergy są moduły oraz pliki konfiguracyjne xml pochodzące z serwera kontroli.

Wszystko wskazuje na to, że właściciele BackDoor.BlackEnergy.36 używali również wcześniejszych wersji tego złośliwego oprogramowania. Założenie to wynika z faktu, że BackDoor.BlackEnergy.36 wykorzystuje ten sam klucz kodowania danych, który był używany w niektórych botnetach BlackEnergy, kontrolowanych z serwerów zamkniętych latem 2012 r.

W odróżnieniu od poprzednich wariantów, plik konfiguracyjny BackDoor.BlackEnergy.36 przechowywany jest w zakodowanej postaci w oddzielnej sekcji biblioteki DLL, której kod w czasie działania Trojana wstrzykiwany jest w kluczowe procesy systemowe, takie jak svchost.exe czy explorer.exe. Poza tym, w wersji BackDoor.BlackEnergy.36 zmieniony został również protokół sieciowy, za pomocą którego następuje wymiana danych z serwerem kontroli.

Wersja do druku

30.01.2013 r.

Mega otrzymało już 150 ostrzeżeń od właścicieli praw autorskich, 18:39

28.01.2013 r.

Intel: Miniaturowy dysk SSD mSATA, 19:12

31.01.2013 r.

ZTE prezentuje nowy ultraszybki modem 4G, 12:08

01.02.2013 r.

Nokia dostała 1,35 mld dolarów z UE, 12:16