Botnet Black.Energy powrócił w nowej wersji

Uwaga na najnowszą wersję złośliwego oprogramowania typu BackDoor.BlackEnergy!

Black.Energy

Black.Energy

Warto przypomnieć, że BackDoor.BlackEnergy to złożone, złośliwe oprogramowanie, wykorzystywane głównie do wysyłania spamu. Umożliwiło ono hakerom stworzenie jednego z największych na świecie botnetów do spamowania, który w okresie najwyższej aktywności wysyłał rekordową ilość 18 miliardów wiadomości dziennie. Podstawą funkcjonowania programów typu BackDoor.BlackEnergy są moduły oraz pliki konfiguracyjne xml pochodzące z serwera kontroli.

Wszystko wskazuje na to, że właściciele BackDoor.BlackEnergy.36 używali również wcześniejszych wersji tego złośliwego oprogramowania. Założenie to wynika z faktu, że BackDoor.BlackEnergy.36 wykorzystuje ten sam klucz kodowania danych, który był używany w niektórych botnetach BlackEnergy, kontrolowanych z serwerów zamkniętych latem 2012 r.

W odróżnieniu od poprzednich wariantów, plik konfiguracyjny BackDoor.BlackEnergy.36 przechowywany jest w zakodowanej postaci w oddzielnej sekcji biblioteki DLL, której kod w czasie działania Trojana wstrzykiwany jest w kluczowe procesy systemowe, takie jak svchost.exe czy explorer.exe. Poza tym, w wersji BackDoor.BlackEnergy.36 zmieniony został również protokół sieciowy, za pomocą którego następuje wymiana danych z serwerem kontroli.

Chcesz być na bieżąco z CHIP? Obserwuj nas w Google News