Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył botnet atakujący rosyjskie banki

14 listopada 2016

Specjaliści Doctor Web ustalili, że trojan BackDoor.IRC.Medusa.1 był użyty przez cyberprzestępców do przeprowadzenia ostatnich serii ataków DDoS na strony www banków Rosbank i Eximbank of Russia.

BackDoor.IRC.Medusa.1 to złośliwy program należący do kategorii botów IRC. Trojany z tej kategorii potrafią łączyć się w botnety i odbierać instrukcje poprzez protokół IRC (Internet Relay Chat). Po podłączeniu się do określonego kanału, boty IRC oczekują na polecenia. Główną funkcją wirusa BackDoor.IRC.Medusa.1 jest przeprowadzanie ataków DDoS. Analitycy bezpieczeństwa Doctor Web wierzą, że w to, że to ten trojan był użyty do przeprowadzenia ataków na Sberbank of Russia, które ostatnio zostały ujawnione przez massmedia.

BackDoor.IRC.Medusa.1 przeprowadza kilka typów ataków DDoS, potrafi również pobierać i uruchamiać na zainfekowanym komputerze różne pliki wykonywalne. Poniższa ilustracja pokazuje podręcznik operatora botnetu opublikowany przez twórców wirusa. Podręcznik opisuje botnet stworzony z użyciem BackDoor.IRC.Medusa.1 i zawiera listę poleceń, które mogą być wykonane przez trojana:

screen BackDoor.IRC.Medusa.1 #drweb

Trojan był aktywnie promowany na podziemnych forach. Jego twórcy zapewniali, że botnet składający się ze 100 zainfekowanych komputerów jest zdolny do wygenerowania aż do 20000-25000 żądań na sekundę, ze szczytową wartością 30000 zapytań. Jako dowód pokazali diagram z testowego ataku na serwer http NGNIX:

screen BackDoor.IRC.Medusa.1 #drweb

Obecnie na jednym z kanałów IRC kontrolujących botnet BackDoor.IRC.Medusa.1 zarejestrowano 314 aktywnych połączeń. Wyniki analizy logu poleceń ujawnione przez Doctor Web pokazują, że od 11 do 14 listopada 2016 cyberprzestępcy wielokrotnie zaatakowali następujące strony www: rosbank.ru (Rosbank) i eximbank.ru (Eximbank of Russia), jak i fr.livraison.lu i en.livraison.lu (sieć restauracji Livraison), oraz korytov-photographer.ru (prywatna strona www).

screen BackDoor.IRC.Medusa.1 #drweb

Sygnatura wirusa BackDoor.IRC.Medusa.1 znajduje się już w bazie Dr.Web dla Linuxa. Specjaliści Doctor Web kontynuują bliską analizę zaistniałej sytuacji.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A