Обнаружен бот, зомбирующий ПК на Windows, Mac и Linux

ЕРЕВАН, 29 января. /АРКА/. «Лаборатория Касперского» обнаружила вредоносное Java-приложение, превращающее персональные компьютеры пользователей под управлением Windows, Mac и Linux в зомби, следующие командам злоумышленников. Об этом на сайте SecureList рассказал вирусный аналитик Антон Иванов.

«Основной функционал бота - проведение DDoS-атак с компьютеров зараженных пользователей. При его анализе нами была зафиксирована попытка проведения атаки на один из сервисов осуществления рассылок по электронной почте», - рассказал аналитик.

В ЛК приложению присвоили имя HEUR:Backdoor.Java.Agent.a, передает cnews.ru.

«При запуске бот копирует себя в домашнюю директорию пользователя и прописывается в автозагрузку. В зависимости от платформы, выбирается следующий способ добавления в автозагрузку: Windows – HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, OS X – используется стандартный сервис launchd, Linux - /etc/init.d/. После запуска и добавления в автозагрузку боту необходимо сообщить об этом своим владельцам. Для того чтобы идентифицировать каждого бота, на пользовательской машине генерируется уникальный идентификатор бота», - рассказал эксперт.

После запуска бот подключается к чат-сети IRC, появляясь в специализированном канале как пользователь с уникальным идентификатором. Для обработки команд от своих владельцев, которые находятся в этом же канале, используется открытый фреймворк PircBot (который в благих целях позволяет создавать чат-ботов).

После того как все настроено и компьютер-зомби вышел в сеть IRC и присоединился к каналу, злоумышленники указывают ему в чате команды, которые включают адрес атакуемого, порт, тип и длительность атаки, а также сколько потоков для нее использовать.

Аналитик добавил, что для того чтобы усложнить анализ и вредоносной программы и выявление ее предназначения, разработчики использовали обфускацию - то есть запутывание исходного кода программы. -0-