DLA UŻYTKOWNIKÓW

Zamknij

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum
Profile

PL

RU CN DE EN ES FR IT JP KZ UZ PL BY
Zamknij
Wiadomości

Wiadomości według tematów

Przeglądy
Banery informacyjne
Centrum prasowe

Wróć do listy aktualności

Doctor Web wykrył botnet atakujący rosyjskie banki

14 listopada 2016

Specjaliści Doctor Web ustalili, że trojan BackDoor.IRC.Medusa.1 był użyty przez cyberprzestępców do przeprowadzenia ostatnich serii ataków DDoS na strony www banków Rosbank i Eximbank of Russia.

BackDoor.IRC.Medusa.1 to złośliwy program należący do kategorii botów IRC. Trojany z tej kategorii potrafią łączyć się w botnety i odbierać instrukcje poprzez protokół IRC (Internet Relay Chat). Po podłączeniu się do określonego kanału, boty IRC oczekują na polecenia. Główną funkcją wirusa BackDoor.IRC.Medusa.1 jest przeprowadzanie ataków DDoS. Analitycy bezpieczeństwa Doctor Web wierzą, że w to, że to ten trojan był użyty do przeprowadzenia ataków na Sberbank of Russia, które ostatnio zostały ujawnione przez massmedia.

BackDoor.IRC.Medusa.1 przeprowadza kilka typów ataków DDoS, potrafi również pobierać i uruchamiać na zainfekowanym komputerze różne pliki wykonywalne. Poniższa ilustracja pokazuje podręcznik operatora botnetu opublikowany przez twórców wirusa. Podręcznik opisuje botnet stworzony z użyciem BackDoor.IRC.Medusa.1 i zawiera listę poleceń, które mogą być wykonane przez trojana:

screen BackDoor.IRC.Medusa.1 #drweb

Trojan był aktywnie promowany na podziemnych forach. Jego twórcy zapewniali, że botnet składający się ze 100 zainfekowanych komputerów jest zdolny do wygenerowania aż do 20000-25000 żądań na sekundę, ze szczytową wartością 30000 zapytań. Jako dowód pokazali diagram z testowego ataku na serwer http NGNIX:

screen BackDoor.IRC.Medusa.1 #drweb

Obecnie na jednym z kanałów IRC kontrolujących botnet BackDoor.IRC.Medusa.1 zarejestrowano 314 aktywnych połączeń. Wyniki analizy logu poleceń ujawnione przez Doctor Web pokazują, że od 11 do 14 listopada 2016 cyberprzestępcy wielokrotnie zaatakowali następujące strony www: rosbank.ru (Rosbank) i eximbank.ru (Eximbank of Russia), jak i fr.livraison.lu i en.livraison.lu (sieć restauracji Livraison), oraz korytov-photographer.ru (prywatna strona www).

screen BackDoor.IRC.Medusa.1 #drweb

Sygnatura wirusa BackDoor.IRC.Medusa.1 znajduje się już w bazie Dr.Web dla Linuxa. Specjaliści Doctor Web kontynuują bliską analizę zaistniałej sytuacji.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments