Исследователь безопасности, известный как MalwareHunterTeam, обнаружил новое вредоносное семейство, позволяющее злоумышленникам получить полный контроль над целевой системой при помощи команд по IRC-каналу.
Вредоносная программа, получившая название GhostAdmin, относится к категории так называемых “ботнет-вредоносов” и, по некоторым данным, уже используется в хакерских атаках.
Как показал анализ исходного кода, GhostAdmin написан на языке C# и, по всей видимости, является переработанной версией вредоносного ПО CrimeScene, активного 3-4 года назад. Оказавшись на системе, GhostAdmin устанавливает канал связи с управляющим сервером, используемый для отправки команд всем ботам в сети.
GhostAdmin способен взаимодействовать с файловой системой, просматривать определенные URL, загружать и исполнять новые файлы, делать снимки экрана, записывать аудио, разрешать удаленное подключение к рабочему столу, извлекать данные, удалять логи, взаимодействовать с локальными базами данных, удалять историю посещений в браузере и выполнять другие действия.
Как рассказал MalwareHunterTeam в интервью ресурсу BleepingComputer, разработчиком GhostAdmin является некто под псевдонимом Jarad. Исследователь смог ознакомиться со скриншотами рабочего стола вирусописателя на FTP-сервере, доступ к которому удалось получить при помощи учетных данных, содержащихся в конфигурационном файле вредоноса.
На данном сервере также обнаружился ряд файлов, судя по всему, похищенных у жертв GhostAdmin, в числе которых интернет-кафе и компания, специализирующаяся на проведении лотерей. По словам MalwareHunterTeam, в настоящее время ботсеть GhostAdmin включает всего 10 инфицированных компьютеров, но будущем их количество может вырасти. (MHT/NovostIT)