Специалисты компании Symantec зафиксировали повышенную активность трояна Sality, который используется для заражения систем и обеспечивает возможность удаленного управления. Как правило, такие системы применяются для выполнения коммерческих заказов по различным направлениям. Общая численность ботов Sality составляет около 1 млн. зараженных систем. Особенностью трояна Sality является децентрализованная система управления, построенная с использованием технологии P2P. Связь трояна Sality с внешним миром осуществляется через TCP-порт 2955.
Проанализировав активность обнаруженных участников ботнета, в компании Symantec пришли к выводу, что действия ботов весьма специфичны и ориентированы на получение доступа сервисам IP-телефонии. В ходе очередного обновления на зараженные системы была установлена программа для подбора паролей к VoIP-серверам через протокол SIP (Session Initiation Protocol). Таким образом, зараженные системы используются управляющим центром для определения на заданном интервале IP-адресов VoIP-серверов и подбора пароля для идентификаторов пользователей в диапазоне от 0 до 9999. Список паролей бот получает от управляющего центра, что позволяет задействовать возможности распределенной структуры ботнета, тем самым во много раз повысить скорость и результативность перебора. Кроме подбора клиентских реквизитов доступа к VoIP-серверам, боты выполняют перебор паролей через протокол HTTP к административному веб-интерфейсу FreePBX системы телефонной связи Asterisk PBX. При подборе пароля к административному интерфейсу используются стандартные логины, такие как "admin", "maint", "root", "freepbx" и ряд других. Верные комбинации логин/пароль отправляются на управляющий сервер.
По предположению Symantec, полученные данные используются для совершения звонков на платные телефонные сервисы злоумышленников и организации систем междугородней телефонии. Обнаруженный контролирующий сервер расположен на территории Англии, компания Symantec связалась с владельцем диапазона IP-адресов с целью предотвращения дальнейшей вредоносной активности.
Источник