RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети

Программы для бесплатного просмотра online tv...  

Компьютер заражен? Есть несколько вариантов вылечить ПК...

Стандарт LTE - Long-Term Evolution - или стандарт связи четвертого поколения (4G) считается перспективным... 



Чем опасен новый троян Win32/64:Napolar

Недавно было выявлено новое вредоносное ПО и добавлено в антивирусные базы как Win32/64: Napolar. Новый троян был представлен не через хакерские форумы, как мы привыкли, он был запущен через сайт, проиндексированный в основных поисковых системах. Сайт называется http://solarbot.net и представляет свои предложения на профессиональном уровне:

napolar intro1

Для трояна Win32/64: Napolar используется канал связи между процессами, называемый \\.\pipe\napSolar. Наличие строк с символами, как "CHROME.DLL", "OPERA.DLL", "trusteer", "data_inject", не вызывает никаких сомнений, что Trojan и Solarbot совпадают. 

 

Дроппер

Napolar имеет возможности по краже учетных данных аккаунтов Facebook, операторы ботнета могут повторно использовать эти данные для отправки сообщений контактам скомпрометированного пользователя. Начальный двоичный файл приходит в виде SFX-архива с таким именами, как:

Photo_032.JPG_www.facebook.com.exe

Photo_032.JPG_www.facebook.com.exe

Photo_014-WWW.FACEBOOK.COM.exe

который включает троянский дроппер и отвлекающее изображение девушек:

napolar gallery mine blured1

В заявлении автора говорится, что Solarbot написана в Lazarus IDE для Free Pascal. 

Структура основного исполняемого выглядит следующим образом:

napolar scheme final1

Распространяется троян по меньшей мере на нескольких сотен компьютеров в день. Наиболее пострадавшие страны расположены в Южной и Центральной Америке: Колумбия, Венесуэла, Перу, Мексика и Аргентина; азиатские страны: Филиппины, Вьетнам; Польша в Европе:

 

Главная возможность Win32/Napolar - способность похищать информацию из форм веб-страниц, которые отображаются в браузере. Троянская программа содержит специальный код по обнаружению security-продукта Trusteer, который дополняет браузер специальными функциями защиты. Если при перечислении запущенных в системе процессов будет найден процесс, который содержит в своем имени «trusteer», то он будет принудительно завершен.

 

Взаимодействие с командным C&C-сервером Win32/Napolar осуществляет через протокол HTTP. Первое отправленное ботом на сервер сообщение содержит следующую информацию:

  • Версию бота
  • Имя пользователя от текущей учетной записи
  • Имя компьютера
  • Идентификатор бота (Bot ID)
  • Версию ОС
  • Тип системы (x32/x64).


Далее сервер отвечает заданиями боту, которые он должен выполнить. Эти команды шифруются с использованием RC4, при этом Bot ID используется в качестве ключа для шифрования. Бот поддерживает множество команд:

  •  Кража информации
  •  SOCKS прокси
  •  DoS-атака
  •  Загрузка дополнительных модулей
  •  Исполнение модулей
  •  Обновление бота

 

По крайней мере, семь различных C&C-серверов заражены Win32/Napolar. Большинство из них оставались онлайн только несколько дней. Затем оператор переместил их в новую сеть. Вероятно, это связано с тем, что бот активно используется "в дикой природе", т. е. имеет большое количество установок на компьютеры пользователей. Список доменов обнаруженных C&C-серверов:

  • dabakhost.be
  • terra-araucania.cl
  • xyz25.com
  • yandafia.com
  • elzbthfntr.com
  • alfadente.com.br

 

В конфигурационных файлах вредоноса были обнаружены ссылки на TOR. Вероятно, эта функция будет задействована позднее для использования преимуществ этой анонимной сети при сетевом взаимодействии.

Оставьте свой отзыв:

Добавить комментарий


Защитный код
Обновить

 

Самое читаемое:

Быстрый поиск

Группа вКонтакте: новости

 

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы