Кампанія «Доктар Вэб» папярэдзіла аб распаўсюдзе чарговы траянскай праграмы сямейства BackDoor.BlackEnergy. У ліпені 2012 года ў сродках масавай інфармацыі з'явіліся публікацыі аб ліквідацыі асноўных кіраўнікоў сервераў праграм на аснове дадзенага траянца, аднак на працягу яшчэ некалькіх месяцаў бот-сетка BlackEnergy выяўляла рэшткавую актыўнасць, якая практычна цалкам спынілася толькі восенню 2012 года.

І вось у студзені 2013 года з'явілася новая мадыфікацыя гэтай пагрозы.


BlackEnergy

Нагадаем, што BackDoor.BlackEnergy — складаная многокомпонентная траянская праграма, у асноўным прызначаная для рассылання спаму. З выкарыстаннем гэтага прыкладання зламыснікам атрымалася стварыць адну з самых буйных у свеце бот-сетак для рассылання паштовых паведамленняў: у пік актыўнасці на яго долю прыходзілася да 18 мільярдаў лістоў у дзень. Траянцы сямейства BackDoor.BlackEnergy выкарыстоўваюць для сваёй працы падгружаюцца модулі і канфігурацыйны файл у фармаце xml, які атрымліваецца з кіраўніка сервера.

Уладальнікамі новай версіі траянца, якая атрымала пазначэнне BackDoor.BlackEnergy.36, з'яўляюцца, па ўсёй бачнасці, тыя ж зламыснікі, якія эксплуатавалі папярэднія мадыфікацыі дадзенай шкоднаснай праграмы. Аб гэтым, у прыватнасці, кажа той факт, што BackDoor.BlackEnergy.36 выкарыстоўвае для шыфравання дадзеных той жа ключ, што ўжываўся ў некаторых бот-сетках BlackEnergy, камандныя цэнтры якіх былі ліквідаваныя летам 2012 года.

Асноўных адрозненняў BackDoor.BlackEnergy.36 ад папярэдніх рэдакцый гэтай шкоднаснай праграмы два: канфігурацыйны файл траянца захоўваецца ў зашыфраваным выглядзе ў асобнай секцыі дынамічнай бібліятэкі, якая, у сваю чаргу, змяшчаецца ў адной з секцый траянца і пры яго запуску ўбудоўваецца ў працэс svchost.exe ці ў explorer.exe. Акрамя гэтага, зламыснікі трохі змянілі сеткавы пратакол, з выкарыстаннем якога BackDoor.BlackEnergy.36 абменьваецца дадзенымі з кіруючым цэнтрам.

Да цяперашняга часу спецыялісты «Доктар Вэб» зафіксавалі некалькі кіраўнікоў сервераў BackDoor.BlackEnergy.36, з выкарыстаннем якіх зламыснікі спрабуюць пабудаваць новы ботнет для масавага распаўсюджвання спаму.