Новые информационные технологии и программное обеспечение
  RSS    

Полезно



Чем опасен новый троян Win32/64:Napolar

Недавно было выявлено новое вредоносное ПО и добавлено в антивирусные базы как Win32/64: Napolar. Новый троян был представлен не через хакерские форумы, как мы привыкли, он был запущен через сайт, проиндексированный в основных поисковых системах. Сайт называется http://solarbot.net и представляет свои предложения на профессиональном уровне:

napolar intro1

Для трояна Win32/64: Napolar используется канал связи между процессами, называемый \\.\pipe\napSolar. Наличие строк с символами, как "CHROME.DLL", "OPERA.DLL", "trusteer", "data_inject", не вызывает никаких сомнений, что Trojan и Solarbot совпадают. 


 

Дроппер

Napolar имеет возможности по краже учетных данных аккаунтов Facebook, операторы ботнета могут повторно использовать эти данные для отправки сообщений контактам скомпрометированного пользователя. Начальный двоичный файл приходит в виде SFX-архива с таким именами, как:

Photo_032.JPG_www.facebook.com.exe

Photo_032.JPG_www.facebook.com.exe

Photo_014-WWW.FACEBOOK.COM.exe

который включает троянский дроппер и отвлекающее изображение девушек:

napolar gallery mine blured1

В заявлении автора говорится, что Solarbot написана в Lazarus IDE для Free Pascal. 

Структура основного исполняемого выглядит следующим образом:

napolar scheme final1

Распространяется троян по меньшей мере на нескольких сотен компьютеров в день. Наиболее пострадавшие страны расположены в Южной и Центральной Америке: Колумбия, Венесуэла, Перу, Мексика и Аргентина; азиатские страны: Филиппины, Вьетнам; Польша в Европе:

 

Главная возможность Win32/Napolar - способность похищать информацию из форм веб-страниц, которые отображаются в браузере. Троянская программа содержит специальный код по обнаружению security-продукта Trusteer, который дополняет браузер специальными функциями защиты. Если при перечислении запущенных в системе процессов будет найден процесс, который содержит в своем имени «trusteer», то он будет принудительно завершен.

 

Взаимодействие с командным C&C-сервером Win32/Napolar осуществляет через протокол HTTP. Первое отправленное ботом на сервер сообщение содержит следующую информацию:

  • Версию бота
  • Имя пользователя от текущей учетной записи
  • Имя компьютера
  • Идентификатор бота (Bot ID)
  • Версию ОС
  • Тип системы (x32/x64).


Далее сервер отвечает заданиями боту, которые он должен выполнить. Эти команды шифруются с использованием RC4, при этом Bot ID используется в качестве ключа для шифрования. Бот поддерживает множество команд:

  •  Кража информации
  •  SOCKS прокси
  •  DoS-атака
  •  Загрузка дополнительных модулей
  •  Исполнение модулей
  •  Обновление бота

 

По крайней мере, семь различных C&C-серверов заражены Win32/Napolar. Большинство из них оставались онлайн только несколько дней. Затем оператор переместил их в новую сеть. Вероятно, это связано с тем, что бот активно используется "в дикой природе", т. е. имеет большое количество установок на компьютеры пользователей. Список доменов обнаруженных C&C-серверов:

  • dabakhost.be
  • terra-araucania.cl
  • xyz25.com
  • yandafia.com
  • elzbthfntr.com
  • alfadente.com.br

 

В конфигурационных файлах вредоноса были обнаружены ссылки на TOR. Вероятно, эта функция будет задействована позднее для использования преимуществ этой анонимной сети при сетевом взаимодействии.

Оставьте свой комментарий!

Добавить комментарий


Защитный код
Обновить


 

Самое читаемое:

Быстрый поиск

Подписаться в соцсетях

вКонтакте · Twitter · Facebook · Telegram

Инструкции к программам

Инструкции к программам

2019 Новые информационные технологии