Ботнет BlackEnergy знову в строю
Нагадаємо, що BackDoor.BlackEnergy - складна багатокомпонентна троянська програма, в основному призначена для розсилки спаму. З використанням цього додатка зловмисникам вдалося створити одну з найбільших у світі бот-мереж для розсилки поштових повідомлень: у пік активності на його частку припадає до 18 мільярдів листів в день. Троянці сімейства BackDoor.BlackEnergy використовують для своєї роботи подгружаемые модулі та конфігураційний файл у форматі xml, одержуваний з керуючого сервера.
Власниками нової версії троянця, що отримала позначення BackDoor.BlackEnergy.36, є, ймовірно, ті ж зловмисники, які експлуатували попередні модифікації цієї шкідливої програми. Про це, зокрема, свідчить той факт, що BackDoor.BlackEnergy.36 використовує для шифрування даних той же ключ, що застосовувався в деяких бот-мережах BlackEnergy, командні центри яких були ліквідовані влітку 2012 року.
Основних відмінностей BackDoor.BlackEnergy.36 від попередніх редакцій цієї шкідливої програми два: конфігураційний файл троянця зберігається в зашифрованому вигляді окремої секції динамічної бібліотеки, яка, у свою чергу, міститься в одній з секцій троянця і при запуску вбудовується в процес svchost.exe або в explorer.exe. Крім цього, зловмисники трохи змінили мережевий протокол, з використанням якого BackDoor.BlackEnergy.36 обмін даними з керуючим центром.
До теперішнього часу фахівці «Доктор Веб» зафіксували кілька керуючих серверівBackDoor.BlackEnergy.36, з використанням яких зловмисники намагаються побудувати новий ботнет для масового поширення спаму. Аналітики продовжує уважно стежити за розвитком ситуації, в той час як сигнатура BackDoor.BlackEnergy.36 була додана в вірусні бази Dr.Web, завдяки чому цей троян більше не небезпечний для користувачів, які встановили на своїх комп'ютерах наше антивірусне пз.