PER UTENTI

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Ricerca
Ricerca

Supporto
Supporto 24/7 | Regole per contattare

Scrivi

Una richiesta attraverso il modulo

Chiama

+7 (495) 789-45-86

Forum

Richieste

Crea nuova richiesta

Chiama

+7 (495) 789-45-86

Profile

IT

RU CN DE EN ES FR IT JP KZ UZ PL BY
Chiudi
News

Notizie per argomento

Notizie sui virus
"Mondo antivirus!"
Ticker
Ufficio stampa

Torna alla lista delle notizie

Rinasce botnet BlackEnergy

17 gennaio 2013

Doctor Web — azienda russa per la sicurezza informatica — avvisa della propagazione di un malware appartenente alla famiglia BackDoor.BlackEnergy. A luglio 2012 nei mass media si è scritto che i principali server della botnet BlackEnergy orientata alla spedizione dello spam erano stati eliminati. Tuttavia le attività della botnet continuavano in grado minore e sono cessate solamente ad autunno. Passati pochi mesi, a gennaio 2013 vediamo una rinascita di questa minaccia.

Vi ricordiamo che BackDoor.BlackEnergy è un backdoor a molti componenti, progettato in primo luogo per la spedizione dello spam. Sulla base di questa programma, i malintenzionati hanno creato una delle botnet più grandi del mondo. Al picco della sua attività, questa botnet trasferiva fino a 18 miliardi di messaggi il giorno. I trojan dalla famiglia BackDoor.BlackEnergy utilizzavano moduli caricabili e un file xml di configurazione trasmesso dal server di comando.

screen

I proprietari della nuova versione del malware, segnata come BackDoor.BlackEnergy.36, sono evidentemente gli stessi malintenzionati che si occupavano delle versioni precedenti. Fra le altre cose, quest’opinione è sostenuta dal fatto che la nuova versione usa la stessa chiave di cifratura che si usava in alcune reti dannose BlackEnergy i cui centri di comando sono stati eliminati ad estate 2012.

La variante BackDoor.BlackEnergy.36 ha due differenze principali rispetto alle vecchie versioni del malware. La prima è che il file di configurazione del trojan si conserva in forma cifrata in una sezione separata della libreria dinamica la quale a suo turno è memorizzata in una delle sezioni del trojan e al suo avvio si incorpora nei processi svchost.exe o explorer.exe. L’altra differenza è un protocollo di rete modificato per il quale il trojan comunica con il server di controllo.

Per il momento, il team di Doctor Web ha scoperto alcuni server di controllo di BackDoor.BlackEnergy.36 e prosegue con le sue osservazioni. La firma di BackDoor.BlackEnergy.36 è stata aggiunta alla base di dati dei virus Dr.Web, quindi i computer dei nostri utenti sono protetti da questo malware.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti