Специалисты из RSA FraudAction Research Lab сообщили об обнаружение в Интернет активного распространения новой версии трояна SpyEye v.1.3.10, организующего из зараженных узлов ботнет. Основное предназначение обнаруженной версии трояна является организация DDoS-атаки на швейцарский веб-сайт (abuse.ch), занимающейся мониторингом активности троянов ZeuS и SpyEye. Данный веб-сайт используется многими организациями для синхронизации списков веб-сайтов, зараженных этими троянами. DDoS-атака по замыслу злоумышленников должна помешать оперативному обмену информацией по публичным каналам связи. Новые версии трояна SpyEye поддерживают возможность модульного расширения, таким образом, в процессе сборки, функциональность трояна может быть изменена с помощью подключения новых модулей. Новым расширением в SpyEye версии 1.3.10 стал DDoS-модуль, позволяющий организовать DDoS-атаку на заданный узел сети. Модуль поддерживает несколько типов DDoS-атак: SYN Flood, UDP Flood и Slowloris Flood. Файл конфигурации для функционирования SpyEye загружается с заданного веб-адреса или может быть передан из управляющего центра. Основное предназначение обнаруженного экземпляра трояна SpyEye - сбор установленных сертификатов; мониторинг ввода идентификационных данных на веб-ресурсах google.com, myspace.com, и vkontakte.ru; а также последующая отправка собранных данных через защищенное соединение на указанный в настройках адрес. Учитывая многомодульную структуру трояна, специалистам не удалось выяснить разработан ли новый модуль создателями трояна или же это продукт сторонних разработчиков.
Подробнее