Seculert провела расследование взлома php.net

image

Теги: взлом, сайт, php

Скомпрометировать сайт удалось при помощи набора эксплоитов, состоящего из пяти вредоносных программ.

По сообщениям Seculert, сайт php.net был взломан при помощи набора эксплоитов, в который входит пять различных вредоносных программ. Напомним, что атака на php.net проводилась 24 октября текущего года.

Эксперты Seculert провели расследование инцидента безопасности и обнаружили один довольно странный и опасный вид вредоносной программы, который они назвали DGA.Changer. Этот вирус загружает другие вредоносные программы на целевые системы. Специалистам удалось выяснить, что сейчас с командными серверами DGA.Changer связывается около 6500 уникальных IP-адресов, половина из которых зарегистрирована в США.

Вирус использует систему генерации доменных имен для командных серверов (Domain Generation Algorithm), что означает, что каждый бот может получить команду изменить набор доменных имен, к которым он подключается. В связи с этим, вредоносную программу очень тяжело обнаружить, так как боты постоянно подключаются к разным потокам доменных имен.

Непонятным в деятельности DGA.Changer является то, что его боты пока не выполняют никаких вредоносных действий. Они скачивают один вредоносный файл, который отправляет на командный сервер информацию о зараженном компьютере. Вполне вероятно, что машины заражаются для того, чтобы потом их можно было продать.

Точные намерения мошенников пока не удалось вычислить, а поэтому в Seculert продолжают следить за ботнетом.

Более подробно с отчетом компании можно ознакомиться здесь.


или введите имя

CAPTCHA