Actualizare falsa de Java utilizeaza calculatorul in atacuri DDoS

Pretinse actualizări software, de codec-uri, Flash Player sau Java au fost utilizate des ca momeală pentru a ademeni utilizatorii de calculatoare să instaleze malware.

Pretinse actualizări software, de codec-uri, Flash Player sau Java au fost utilizate des ca momeală pentru a ademeni utilizatorii de calculatoare să instaleze malware. De curând specialiştii BitDefender au întâlnit un astfel de tip de malware ascuns sub înfățișarea unei actualizări pentru platforma Java. O investigare mai atentă a dezvăluit mai mult decât putea fi observat la o primă vedere: o componentămalware bine gândită cu răspândire foarte mare printr-o multitudine de medii şi care poate fi utilizată pentru a iniția atacuri DDoS.

Această amenințare pare să fie în concordanță cu peisajul atacurilor on-line actuale, în special cele revendicate de grupuri de hackeri, cum ar fi Anonymus sau fosta organizație numită LulzSec. Amândouă grupările au făcut un obicei de a ținti o gamă largă de instituții, incluzând companii și organizații guvernamentale – nu pentru bani – ci pentru credo-ul lor “Antisec”.

Backdoor.IRCBot.ADEQ este un Trojan deghizat într-un update Java. Este extrem de “contagios”, pentru că poate fi descărcat din foarte multe locații, multe dintre ele fiind site-uri legitime care au fost infectate de acest “utilitar”.

Trojan-ul pare să aibă o metodă specială de a infecta fiecare PC: malware-ul se poate răspândi prin directoarele partajate prin rețelele P2P, disc-uri și stick-uri USB, rețele locale, MSN, sau chiar se poate trimite prin e-mail, dacă sistemul are Outlook Express instalat.

Backdoor.IRCBot.ADEQ folosește mesaje private pentru a comunica direct cu atacatorul, care trimite bot-ului o serie de comenzi, incluzând URL-ul unui website care este țintit pentru a fi floodat. Atacatorul poate trimite de asemenea instrucțiuni precise Trojan-ului despre oră, durată și frecvența request-urilor care să fie trimise de pe PC-ul compromis.

Mai mult, bot-ul poate dezinstala alte amenințări asemănătoare ca Cerberus, Blackshades, CyberGate, sau OrgeneraL DDoS Bot Cryptosuite dacă sunt găsite injectate în winlogon.exe, csrss.exe și services.exe. Acesta este un pas esențial pentru ca bot-ul să se asigure că utilizatorul nu bănuiește că are loc vreo activitate malițioasă pe calculatorul său, si de asemenea să scoată din funcțiune orice altă aplicație care ar folosi banda de internet.

În plus, bot-ul va încerca să îşi ascundă activităţile faţă de utilizator. Acesta se adaugă cu succes în lista aplicațiilor din Windows Firewall, și încearcă să suprime alertele pe care le-ar putea afișa aplicațiile antivirus.

Aceasta face ca Backdoor.IRCBot.ADEQ să fie o unealtă eficientă pentru atacuri DDoS pe care un atacator o poate utiliza pentru a scoate site-uri din uz sau pentru a stânjeni activitatea unei companii; un tip de atac ce poate aduce pierderi materiale și impact negativ asupra credibilității profesionale ale unei companii/instituții/trust de presă după cum arată ultimele evenimente.

În peisajul actual al amenințărilor informatice, Anmonymous și LulzSec au lansat câteva atacuri DDoS împotriva unor instituții extreme de importante. În timp ce instrumente open-source ca Low-Orbit Ion Cannon au avut un rol în orchestrarea incidentului, cel mai mare impact l-au avut botnet-urile. Nu e de mirare, dat fiind faptul că cei mai mulți membri permanenți ai organizației au la dispoziţia lor botnet-uri cu 5000 – 30000 de sisteme infectate.

Botnet-urile sunt instrumente universale. Au prețuri ridicate și pot face practic orice, de la generarea de venituri prin accesarea abuzivă de reclame contextuale, la ofensive împotriva guvernelor prin atacuri DDoS. În cele mai multe cazuri, aceste atacuri pot fi urmărite de către autorităţi până cel mult la pc-ul victimei.

O companie ar putea fi șantajată pentru a plăti o anumită sumă, sau altfel serverele lor vor fi flood-ate automat cu request-uri cărora nu le va putea răspunde, ceea ce va bloca activitatea acestuia. În acest timp compania pierde clienți și implicit bani.

Acest articol este bazat pe datele oferite cu amabilitate de Doina Cosovan, BitDefender Virus Analyst.

via MalwareCity

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

2 responses to “Actualizare falsa de Java utilizeaza calculatorul in atacuri DDoS”

  1. lemon

    Hello, m-am lovit de aceasta “problema” acum cateva luni. Parerea mea este ca cel mai simplu ca utilizator te poti rezuma la update via site-ul producatorului. Totodata stiu ca nici KIS /KAV nu reactioneaza la acest tip de update. Singurul sfat pentru producatori de solutii de securitate ar fi sa se reorienteze un pic…

    O zi buna
    lemon

  2. mateo

    kis nu prea reactioneaza in general…doar multa reclama!

Leave a Reply