Об этом в корпоративном блоге SecureList рассказал вирусный аналитик Антон Иванов.
«Основной функционал бота - проведение DDoS-атак с компьютеров зараженных пользователей. При его анализе нами была зафиксирована попытка проведения атаки на один из сервисов осуществления рассылок по электронной почте», - рассказал аналитик.
В ЛК приложению присвоили имя HEUR:Backdoor.Java.Agent.a.
«При запуске бот копирует себя в домашнюю директорию пользователя и прописывается в автозагрузку», - рассказал эксперт. В среде OS X вредоносное приложение создает конфигурационный файл для сервиса launchd в директории ~/Library/LaunchAgents/. В среде Linux зловред прописывается в автозагрузку, используя директорию /etc/init.d/, в которой он создает sh-скрипт, запускающийся при старте системы. Для этого действия у вредоносного приложения должны быть привилегии root. Эксперты не исключают, что для их получения перед запуском вредоносного приложения отрабатывается некий эксплойт, который повышает его локальные права.
Интересно, что если для записи в автозагрузку Linux Java-бот требует root-привилегий, что типично для вредоносных программ, работающих в Linux, то для заражения Mac OS X, как говорит эксперт, бот может запускаться и из-под обычной учетной записи.
После запуска и добавления в автозагрузку боту необходимо сообщить об этом своим владельцам. Для того чтобы идентифицировать каждого бота, на пользовательской машине генерируется уникальный идентификатор бота.
Затем бот подключается к чат-сети IRC, появляясь в специализированном канале как пользователь с уникальным идентификатором. Для обработки команд от своих владельцев, которые находятся в этом же канале, используется открытый фреймворк PircBot (который в благих целях позволяет создавать чат-ботов).
Сеанс подключения к IRC-серверу
После того как все настроено и компьютер-зомби вышел в сеть IRC и присоединился к каналу, злоумышленники указывают ему в чате команды, которые включают адрес атакуемого, порт, тип и длительность атаки, а также сколько потоков для нее использовать.
Подключение к каналу
Аналитик добавил, что для того чтобы усложнить анализ и вредоносной программы и выявление ее предназначения, разработчики использовали обфускацию - то есть запутывание исходного кода программы.
Информацию по точному числу жертв в ЛК дать не смогли. По имеющейся у компании информации, приложение распространяется, используя достаточно актуальный на сегодняшний день Java-эксплойт.