Написать пост

Обнаружен ботнет Fbot, удаляющий на зараженных устройствах другую малварь

Аватар Наташа Маркова

Fbot ищет открытые порты Android Debug Bridge, загружает вредоносные модули, удаляет малварь com.ufo.miner и устраняет следы своего присутствия.

Обложка поста Обнаружен ботнет Fbot, удаляющий на зараженных устройствах другую малварь

Специалисты Netlab 360 рассказали о новом ботнете Fbot, который использует EmerDNS вместо DNS и удаляет на зараженном устройстве малварь com.ufo.miner — вариацию ADB.Miner для взлома через открытые порты Android Debug Bridge (ADB).

Принцип действия

Fbot работает на базе исходных кодов вредоносной программы Satori, которая в свою очередь является версией IoT-малвари Mirai. Он ищет открытые порты TCP 5555 и выполняет один из двух сценариев: hxxp: //188.209.52.142/c или hxxp: //188.209.52.142/w через интерфейс ADB. Они загружают на устройство вредоносные модули и поддерживают связь с управляющим сервером. Fbot удаляет из устройства com.ufo.miner и останавливает такие процессы, как:

			/data/local/tmp/smi
/data/local/tmp/xig
/data/local/tmp/trinity
/data/local/tmp/z
/data/local/tmp/log
/data/local/tmp/rig
/data/local/tmp/.f
/data/local/tmp/tyg
		

Затем он устраняет следы своего присутствия. Ботнет использует DDoS-модуль от Mirai, при этом специалисты не обнаружили ни одной DDoS-атаки с его стороны.

EmerDNS

Управляющий сервер Fbot находится на домене второго уровня .lib, который не зарегистрирован ICANN. Ботнет использует децентрализованную блокчейн-систему доменных имен EmerDNS.

Получить доступ к веб-сайту .lib можно несколькими способами:

  • через систему альтернативных DNS-серверов OpenNIC;
  • с помощью расширения в браузере;
  • с помощью самостоятельной настройки узла Emer.

Satori

В декабре 2017 года специалисты обнаружили вредоносную программу Satori, насчитывающую 280 000 активных ботов. Она использует два эксплойта, которые подключаются к удаленным устройствам через порты 37215 и 52869.

Следите за новыми постами
Следите за новыми постами по любимым темам
567 открытий567 показов