Google Groups раздаёт команды зомби-компьютерам

≡ Безопасность | Новости | 14.09.2009 20:43

Специалисты компании Symantec обнаружили троянскую программу, которая получает инструкции через приватную группу новостей в Google Groups. Хотя сторонние веб-сервисы и раньше использовались злоумышленниками в качестве контролирующих центров ботнетов, Google Groups в подобной роли оказался впервые.

Схема действия довольно проста. Заразив целевой компьютер, троянец, получивший в классификации Symantec имя Trojan.Grups, логинится к некоему Google-аккаунту, после чего начинает читать посты, публикуемые в группе новостей escape2sun. В этих сообщениях указываются различные инструкции для ботов. Боты также могут "отвечать", публикуя сообщения к соответствующим темам. Инструкции кодируются при помощи шифра RC4 и кода base64.

"Эта техника аналогична использованию шифрованных сообщений в газетах, которое часто встречается в шпионских романах, — пояснил представитель Symantec Зульфикар Рамзан (Zulfikar Ramzan) изданию eWeek. — Атакующие используют преимущества онлайн-средств, позволяющих практически любому публиковать сообщения, а также одновременно широко распространённых и доступных снаружи".

Несмотря на простоту и эффективность подобного способа управления ботнетом, у него имеются и недостатки. Один из них — возможность проследить и изучить все "разговоры" между контролирующим центром и зомби-компьютерами. Что и сделали специалисты Symantec.

Они отмечают, что впервые этот троян проявил активность ещё в прошлом ноябре, достиг пика в своём распространении к февралю этого года, после чего количество зараженных им компьютеров стало помалу уменьшаться. Речь идёт об очень крохотном ботнете, сгенерировавшем около 3 тысяч постов в новостной группе, что даёт основания предполагать, что авторы трояна попросту изучают пригодность Google Groups в качестве контролирующего центра.

Напомним, что недавно была обнаружена похожая схема с использованием учётной записи сервиса Twitter. С этого аккаунта публиковались base64-кодированные сообщения, представлявшие собой URL-адреса с инструкциями для ботов.

комментарии(3) |

разделы: Новости | Безопасность

Материалы по теме

Обнаружен ботнет из Linux-серверов
Преступники управляют ботнетом через Twitter
Создан ботнет из роутеров и DSL-модемов
Новый червь строит мобильные ботнеты?