Киберпреступники намерены «воскресить» ботнет при помощи нового вредоносного ПО.
На текущий момент злоумышленники активно пытаются возобновить некогда мощный ботнет Srizbi. По данным ИБ-экспертов из F-Secure, киберпреступники намерены «воскресить» ботнет при помощи нового вредоносного ПО.
Впервые попытки восстановления Srizbi были зафиксированы еще в апреле текущего года. После более подробного анализа нового ботнета оказалось, что у него много общего со спамботом Srizbi. Несмотря на все схожие элементы, в компании присвоили вредоносу новое название – Pitou, так как его код был написан с нуля.
Согласно данным анализа F-Secure, Pitou задействует дроппер, который проверяет версию установленной операционной системы перед выбором определенного модуля полезной нагрузки.
Если на ПК установлена Windows XP, то на систему устанавливается работающий в режиме ядра драйвер. Некоторые компании идентифицируют последнего как Uroburos и Turla. В случае наличия Windows 7 и более новой версии платформы, то буткит устанавливается посредством инфицирования главной загрузочной записи (MBR). Затем при каждом запуске ОС буткит проверяет выполняемость вредоносного кода.
Дроппер распространяется через взломанные сайты при помощи загрузчиков троянов. В период с мая по август текущего года Pitou удалось инфицировать компьютеры в Бразилии, Перу, Египте, Вьетнаме и Венесуэле. Также жертвами ботнета стали несколько пользователей из США и стран Европы.
Более подробно с отчетом F-Secure можно ознакомиться здесь .
Гравитация научных фактов сильнее, чем вы думаете