Фирма Symantec обнаружила схему, позволявшую использовать сервис новостных
групп Google Groups для рассылки команд вредоносным программам, установленным на
скомпрометированных компьютерах. Ранее в этом году для аналогичных целей
использовался Twitter.

На этот раз атакующие заражали пользователей трояном, который в интерпретации
Symantec называется Trojan.Grups. Этот троян поражает машины под управлением
Windows и устанавливает на них бэкдор. При запуске троян авторизуется в
приватной группе на Google Groups и считывает оттуда сообщение с дальнейшими
указаниями. После их прочтения вредоносная программа отсылает в закрытую группу
отчет об успешном либо неуспешном выполнении команд. Любопытной особенностью
данной схемы является способность программы использовать потоковый шифр RC4 для
шифрования/дешифровки сообщений.

Впрочем, есть у такого подхода и слабые стороны, поскольку публикация данных
в новостной группе позволяет детально отследить всю активность трояна.
Проанализировав код и сравнительно низкую активность трояна (3000 сообщений с
ноября 2008 года), эксперт Symantec Гевин Горман пришел к выводу, что
специалисты имеют дело прототипом вредоносной программы, призванным проверить
возможность использования сервисов новостных групп в качестве центров управления
вредоносным ПО. В сообщении на блоге Горман пишет, что троян вероятнее всего
имеет тайваньское происхождение, так как в качестве языка новостной группы
используется упрощенный китайский, а в тексте некоторых постов имеются указания
на домены в зоне .tw.



Оставить мнение