Специалисты «Лаборатории Касперского» обнаружили вредоносную программу, использующую персональные компьютеры на базе Windows, Mac и Linux для проведения DDoS-атак. Управление компьютерами-зомби злоумышленники осуществляют с помощью команд в чате в сети IRC, к которой приложение подключается втайне от пользователя. «Лаборатория Касперского» обнаружило вредоносное Java-приложение, превращающее персональные компьютеры пользователей под управлением Windows, Mac и Linux в зомби, следующие командам злоумышленников. Об этом в корпоративном блоге SecureList рассказал вирусный аналитик Антон Иванов. «Основной функционал бота - проведение DDoS-атак с компьютеров зараженных пользователей. При его анализе нами была зафиксирована попытка проведения атаки на один из сервисов осуществления рассылок по электронной почте», - рассказал аналитик. В ЛК приложению присвоили имя HEUR:Backdoor.Java.Agent.a. «При запуске бот копирует себя в домашнюю директорию пользователя и прописывается в автозагрузку», - рассказал эксперт. В среде OS X вредоносное приложение создает конфигурационный файл для сервиса launchd в директории ~/Library/LaunchAgents/. В среде Linux зловред прописывается в автозагрузку, используя директорию /etc/init.d/, в которой он создает sh-скрипт, запускающийся при старте системы. Для этого действия у вредоносного приложения должны быть привилегии root. Эксперты не исключают, что для их получения перед запуском вредоносного приложения отрабатывается некий эксплойт, который повышает его локальные права. Интересно, что если для записи в автозагрузку Linux Java-бот требует root-привилегий, что типично для вредоносных программ, работающих в Linux, то для заражения Mac OS X, как говорит эксперт, бот может запускаться и из-под обычной учетной записи. После запуска и добавления в автозагрузку боту необходимо сообщить об этом своим владельцам. Для того чтобы идентифицировать каждого бота, на пользовательской машине генерируется уникальный идентификатор бота. Затем бот подключается к чат-сети IRC, появляясь в специализированном канале как пользователь с уникальным идентификатором. Для обработки команд от своих владельцев, которые находятся в этом же канале, используется открытый фреймворк PircBot (который в благих целях позволяет создавать чат-ботов). После того как все настроено и компьютер-зомби вышел в сеть IRC и присоединился к каналу, злоумышленники указывают ему в чате команды, которые включают адрес атакуемого, порт, тип и длительность атаки, а также сколько потоков для нее использовать.
Источник