Специалисты «Лаборатории Касперского» обнаружили вредоносную программу, использующую персональные компьютеры на базе Windows, Mac и Linux для проведения DDoS-атак. Управление компьютерами-зомби злоумышленники осуществляют с помощью команд в чате в сети IRC, к которой приложение подключается втайне от пользователя.

«Лаборатория Касперского» обнаружило вредоносное Java-приложение, превращающее персональные компьютеры пользователей под управлением Windows, Mac и Linux в зомби, следующие командам злоумышленников. Об этом в корпоративном блоге SecureList рассказал вирусный аналитик Антон Иванов.

«Основной функционал бота - проведение DDoS-атак с компьютеров зараженных пользователей. При его анализе нами была зафиксирована попытка проведения атаки на один из сервисов осуществления рассылок по электронной почте», - рассказал аналитик.

В ЛК приложению присвоили имя HEUR:Backdoor.Java.Agent.a.

«При запуске бот копирует себя в домашнюю директорию пользователя и прописывается в автозагрузку», - рассказал эксперт. В среде OS X вредоносное приложение создает конфигурационный файл для сервиса launchd в директории ~/Library/LaunchAgents/. В среде Linux зловред прописывается в автозагрузку, используя директорию /etc/init.d/, в которой он создает sh-скрипт, запускающийся при старте системы. Для этого действия у вредоносного приложения должны быть привилегии root. Эксперты не исключают, что для их получения перед запуском вредоносного приложения отрабатывается некий эксплойт, который повышает его локальные права.

Интересно, что если для записи в автозагрузку Linux Java-бот требует root-привилегий, что типично для вредоносных программ, работающих в Linux, то для заражения Mac OS X, как говорит эксперт, бот может запускаться и из-под обычной учетной записи.

После запуска и добавления в автозагрузку боту необходимо сообщить об этом своим владельцам. Для того чтобы идентифицировать каждого бота, на пользовательской машине генерируется уникальный идентификатор бота.

Затем бот подключается к чат-сети IRC, появляясь в специализированном канале как пользователь с уникальным идентификатором. Для обработки команд от своих владельцев, которые находятся в этом же канале, используется открытый фреймворк PircBot (который в благих целях позволяет создавать чат-ботов).

После того как все настроено и компьютер-зомби вышел в сеть IRC и присоединился к каналу, злоумышленники указывают ему в чате команды, которые включают адрес атакуемого, порт, тип и длительность атаки, а также сколько потоков для нее использовать.

Аналитик добавил, что для того чтобы усложнить анализ и вредоносной программы и выявление ее предназначения, разработчики использовали обфускацию - то есть запутывание исходного кода программы.

Информацию по точному числу жертв в ЛК дать не смогли. По имеющейся у компании информации, приложение распространяется, используя достаточно актуальный на сегодняшний день Java-эксплойт.