Эксперты Trend Micro: Ботнет Andromeda возвращается

Как сообщают исследователи компании Trend Micro, в одной из последних обнаруженных спам-рассылок присутствуют следы ботнета Andromeda.

По словам экспертов, спам-сообщения содержат вредоносные вложения, либо ссылки на скомпрометированные web-сайты, загружающие на компьютер жертвы набор эксплоитов Blackhole (BHEK).

Стоит напомнить, что ботнет Andromeda, обнаружен еще в 2011 году, может включать в себя несколько различных модулей, среди которых кейлоггеры, руткиты, а также прокси-модули SOCKS4.

Как и обычный бэкдор, вирус может загружать и исполнять на компьютере жертвы различные файлы, а также обновлять себя или удалять в случае необходимости.

Исследователи отмечают, что различные версии приложений, используемых ботсетью Andromeda хакеры продают в сети Интернет за $300-500, а наибольшее количество инфицированных компьютеров было обнаружено в Австралии, Турции и Германии.

По данным экспертов, на этот раз Andromeda распространяется при помощи съемных носителей. Вместо простого распространения своих копий, вирус разделяет компоненты файлов, усложняя анализ и обнаружение.

Последний обнаруженный исследователями образец вируса обладает способностью открывать и прослушивать TCP-порт 8000 и запускать командную строку (cmd.exe). После подключения к удаленной системе, злоумышленник может выполнить произвольные команды и получить полный доступ к инфицированному компьютеру.

Помимо этого, Andromeda может использовать собственные API, которые внедряются в обычные процессы. Подобная техника ранее была замечена в поведении вирусов DUQU и KULUOZ.

Подробнее с уведомлением экспертов Trend Micro можно ознакомиться здесь.