Кампанія «Доктар Вэб» праінфармавала карыстальнікаў аб распаўсюдзе з дапамогай пірынгавай сеткі Trojan.PWS.Panda.2395 некалькіх шкоднасных праграм, якія выкарыстоўваюць вельмі цікаўны механізм заражэння кампутараў.

Дадзеныя праграмы здольныя ажыццяўляць масіраваныя DDoS-атакі і рассылаць спам.


Trojan.PWS.Panda.2395

Інфікаванне кампутара ахвяры ажыццяўляецца пры дапамозе шырока распаўсюджанага траянца Trojan.PWS.Panda.2395. На першым этапе заражэння пры дапамозе падтрымліваецца траянаў пірынгавай сеткі на ПК ахвяры спампоўваецца выкананы файл, у якім зашыфраваны шкоднасны модуль. Пасля паспяховай расшыфроўкі ён запускае яшчэ адзін модуль, счытвальных ў памяць кампутара вобраз іншага шкоднаснага прыкладання, детектируемого антывірусным ПА Доктара.Web як адзін з прадстаўнікоў сямейства Trojan.DownLoader.

Дадзеная праграма захоўваецца ў тэчку ўліковага запісу карыстальніка ў выглядзе выкананага файла са выпадковым імем, пасля чаго мадыфікуе рэестр Windows, каб забяспечыць сабе магчымасць аўтаматычнага запуску адначасова з загрузкай аперацыйнай сістэмы.

Вельмі цікавы алгарытм, які выкарыстоўваецца траянам для загрузкі на інфікаваны кампутар іншых шкоднасных праграм. У целе дадзенай мадыфікацыі Trojan.DownLoader маецца зашыфраваны спіс даменных імёнаў, да якіх загрузнік звяртаецца з запытам па пратаколе HTTPS. У адказ траянец атрымлівае галоўную вэб-старонку які размяшчаецца па гэтым адрасе сайта і разбірае яе HTML-структуру ў пошуках тэга ўстаўкі малюнка , у якасці аргументу якога запісаны масіў дадзеных, зашыфраваных з выкарыстаннем алгарытму base-64.

Пасля расшыфроўкі вынятыя з вэб-старонкі дадзеныя ператвараюцца ў файл, маскирующийся пад малюнак у фармаце JPEG. Гэты файл таксама захоўвае ў сабе кантэйнер, змесціва якога сціснута архіватарам gzip. Нарэшце, з архіва здабываецца шкоднасная праграма BackDoor.Bulknet.739, якая ўяўляе сабой траянец-бэкдор, які валодае функцыянальнасцю для масавай рассылкі спаму.