Эксперты российской компании «Доктор Веб», которая занимается вовсе не протезированием зубов, а борьбой с вирусами, взяли контроль над ботсетью, образованной инфицированными троянской программой BackDoor.Bulknet.739 компьютерами. Злоумышленники используют компьютеры жертв для спам-рассылки. Атаке подвергаются Франция, Италия, Мексика, США, Турция, Тайланд. Троянец очень заразен – поражает в среднем 100 компьютеров в час. Россия не находится под прицелом вредоносной программы BackDoor.Bulknet.739.
Вредоносная программа BackDoor.Bulknet.739 была обнаружена еще осенью 2012 года. Она объединяет компьютеры в бот-сеть, которую злоумышленники используют для рассылки спама. Когда троянец впервые запускается на компьютере, идет распаковка загрузчика BackDoor.Bulknet.847, который весьма оригинально скачивает вредоносное приложение BackDoor.Bulknet.739. Загрузчик выбирает из своего списка доменных имен для загрузки спам-модуля какой-то один, обращается к нему и получает в ответ веб-страницу. Затем в HTML-коде этой страницы загрузчик ищет тег вставки изображения. Это изображение на самом деле является зашифрованным основным модулем BackDoor.Bulknet.739, который выполняет массовую рассылку электронных писем. Шаблоны писем и список адресов, на которые их нужно разослать, а так же файл конфигурации вредоносу BackDoor.Bulknet.739 присылает удаленный сервер. Если злоумышленники останавливают рассылку, троянец присылает им отчет.
Один из командных серверов перехватили специалисты «Доктор Веб». Они собрали статистические данные и проследили за темпами роста ботнета. 5 апреля к захваченному управляющему серверу были уже подключены около 7 тысяч машин, их количество продолжает увеличиваться в среднем по 100 компьютеров в час.
Особенно сильно вирус поразил Францию, Италию, Мексику, США, Турцию, Тайланд. Меньше всего ботов зафиксировано в России и Австралии. Сигнатура BackDoor.Bulknet.739 успешно добавлена в антивирусные базы Dr.Web, поэтому пользователи, которые установили себе последнее обновление, могут его не опасаться.
