Экспертам “Лаборатории Касперского” удалось зафиксировать активность вируса под названием ChewBacca, который распространяется через сети Tor. Сообщается, что использование анонимайзера не является уникальным случаем в работе с вредоносным ПО.
“В последнее время Tor все чаще используют для того, чтобы анонимизировать присутствие пользователя в Сети. Злоумышленники также используют систему в собственных целях, но они все еще довольно медленно задействуют ее в распространении вирусов”, – подчеркнули в ЛК. Главным преимуществом использования Tor является то, что анонимайзер позволяет скрыть расположение C&C-сервера. Правда, существует вероятность того, что о существовании ботнета станет известно весьма скоро, так как его активность влияет на всю сеть.
Троян является исполняемым файлом PE32, распространяемым компилятором Free Pascal 2.7.1 от 22 октября 2013 года, объемом в 5 Мб с Tor 0.2.3.25. “После выполнения файла запрашивается функция под названием “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_INSTALL”, которая в папке автозагрузки отображается как “spoolsv.exe” (например, C:\Документы и установки\Все пользователи\ меню Пуск \Программы\Автозагрузка\) и запрашивает общественный IP-адрес жертвы через общедоступный сервис по адресу ekiga.net/ip (он не связан с вредоносным ПО)”, – сообщили эксперты по ИБ компании. После запуска троян записывает нажатия клавиш в журнал “system.log”, создаваемом вирусом во временной папке на системе пользователя. Кроме того, троян фиксирует все запускаемые процессы и считывает их данные. Он также содержит два разных шаблона регулярных выражений для извлечения информации. (Касперский/NovostIT)