Следы присутствия ботсети были обнаружены в одной из спам-рассылок.
Как сообщают исследователи компании Trend Micro, в одной из последних обнаруженных спам-рассылок присутствуют следы ботнета Andromeda.
По словам экспертов, спам-сообщения содержат вредоносные вложения, либо ссылки на скомпрометированные web-сайты, загружающие на компьютер жертвы набор эксплоитов Blackhole (BHEK).
Стоит напомнить, что ботнет Andromeda, обнаружен еще в 2011 году, может включать в себя несколько различных модулей, среди которых кейлоггеры, руткиты, а также прокси-модули SOCKS4.
Как и обычный бэкдор, вирус может загружать и исполнять на компьютере жертвы различные файлы, а также обновлять себя или удалять в случае необходимости.
Исследователи отмечают, что различные версии приложений, используемых ботсетью Andromeda хакеры продают в сети Интернет за $300-500, а наибольшее количество инфицированных компьютеров было обнаружено в Австралии, Турции и Германии.
По данным экспертов, на этот раз Andromeda распространяется при помощи съемных носителей. Вместо простого распространения своих копий, вирус разделяет компоненты файлов, усложняя анализ и обнаружение.
Последний обнаруженный исследователями образец вируса обладает способностью открывать и прослушивать TCP-порт 8000 и запускать командную строку (cmd.exe). После подключения к удаленной системе, злоумышленник может выполнить произвольные команды и получить полный доступ к инфицированному компьютеру.
Помимо этого, Andromeda может использовать собственные API, которые внедряются в обычные процессы. Подобная техника ранее была замечена в поведении вирусов DUQU и KULUOZ.
Подробнее с уведомлением экспертов Trend Micro можно ознакомиться здесь.