SecurityLab.ru 27 февраля 2017

Ботнет Necurs получил функции для осуществления DDoS-атак

Фото: Новости ИТ
Печально известный ботнет Necurs, используемый злоумышленниками для рассылки фишинговых писем с вредоносным ПО Locky, получил новые функции. Как сообщает исследователь компании Anubis Labs Тьяго Перейра (Tiago Pereira), теперь с помощью Necurs киберпреступники могут осуществлять DDoS-атаки.
По данным Перейры, вредоносное ПО Necurs получило ответственный за DDoS-атаки модуль и новую функцию подключения к C&C-серверу через прокси. Хотя модуль был добавлен еще несколько месяцев назад, в настоящее время злоумышленники не используют его.
В сентябре прошлого года эксперты Anubis Labs обратили внимание на то, что помимо обычного подключения через порт 80, зараженные Necurs системы подключались к ряду IP-адресов через другой порт и по другому протоколу. В результате реверс-инжиниринга вредоносного кода был обнаружен простой модуль прокси SOCKS/HTTP для подключения Necurs к C&C-серверу.
Операторы ботнета используют ботов для передачи данных по протоколам HTTP, SOCKSv4 и SOCKSv5 в качестве прямых и backconnect прокси. От C&C-сервера боты получают три команды — запустить Proxybackconnect, включить спящий режим или начать DDoS-атаку. Команда начать DDoS-атаку предусматривает два режима — HTTP-флуд и UDP-флуд. Если первой строкой полученного ботом сообщения будет «http:/», вредонос начнет DDoS-атаку с использованием HTTP-флуда. В противном случае будет инициирована атака с использованием UDP-флуда.
Комментарии
Читайте также
Cassini подсказал, как зарождается жизнь во Вселенной
ЧП подтвердило возросшие риски российского космоса
92
Трамп признал отставание от России
169
Физики разработали программу для добычи сланцевой нефти
Последние новости
«Яндекс» могут оштрафовать за ссылки на пиратские сайты
Минкомсвязи подготовило список обязательных к передаче в ФСБ данных пользователей
Yahoo! предупредила своих пользователей о возможных взломах