+7 (843) 267-58-53 | antiviruses.ru | ||
618441287 | [email protected] |
Топ 10
Лидеры продаж |
У Heloag нет друзей, только хозяинХозе Назарио (Jose Nazario) из компании Arbor Networks недавно разместил анализ вредоносной программы Trojan.Heloag в веблоге компании. В его сообщении, в частности, говорилось, что он наблюдал поведение троянца, которое могло свидетельствовать о наличии функционала управления ботнетом через одноранговые сети. Однако анализ, проведенный Хозе, был динамическим, и, когда я с ним связался, Хозе не мог с уверенностью подтвердить наличие у ботнета подобных функций (хочу также поблагодарить Алекса Кокса (Alex Cox) за предоставленную данные по сетевой активности, полученные с помощью его ловушки). Поскольку меня интересуют одноранговые ботнеты (см., например, Stormfucker: Owning the Storm Botnet [видеоролик в формате MP4]), я не мог не изучить вопрос более глубоко. Бинарные файлы Heloag, которые мне довелось изучить (6ede527bb5aa65eae8049ac955b1018d, загружаемые d9b14a7bc0334458d99e666e553f0ee0) не содержат функционала управления ботнетом через одноранговые сети! Напротив, у бота очень простой интерфейс управления, команды и данные пересылаются по протоколу TCP. Поддерживаются следующие типы команд (тип команды кодируется первым байтом пакета):
Таким образом, несмотря на то, что при динамическом анализе наблюдалось соединение зараженного компьютера с несколькими центрами управления, мы имеем дело не с управлением через одноранговую сеть, а с «передачей» бота от одного центра управления к другому. Это может иметь своей целью балансировку нагрузки или сдачу ботов в аренду. Поскольку в любой конкретный момент бот соединен только с одним центром управления, подобная схема мало что дает в плане противодействия выводу ботнета из строя (уф…). Данный бот интересен с точки зрения структуры вредоносной программы. В глаза бросается следующее: практически каждая команда боту определяется своим неким уникальным значением управляющего байта, но все команды по началу DDoS-атаки объединены одним значением этого управляющего байта. Чтобы бот понял, какой же из методов DDoS-атаки применять, пересылается дополнительная информация, так сказать, дополнительные управляющие байты. Логичней было бы разделить разные техники DDoS-атак сразу и просто назначить каждому методу свое уникальное значение самого первого управляющего байта. Кроме того, в коде, отвечающем непосредственно за осуществление DDoS-атаки, активно используется класс С++ «std::string», тогда как основной код работает со строками при помощи функции wsprintf. Похоже, что проект стал результатом сотрудничества двух человек или, возможно, один приобрел у другого часть исходного кода. Данная вредоносная программа почти наверняка создана в Китае. Во-первых, применение функции wsprintf дает возможность использовать названия папок и файлов, содержащие символы, не входящие в алфавиты западных языков, что редко встречается во вредоносных программах, созданных в западных странах. Во-вторых, в двоичном коде в явном виде содержится один китайский IP-адрес, DDoS-атака на который невозможна ботом ни при каких условиях (проверка осуществляется после определения IP-адресов с помощью системы DNS). Дата публикации: 15, Мая 2010 г. Источник: Лаборатория Касперского |
Сравнить
<%compare_list%>
Online проверкаНовости
|