Новый ботнет Fbot находит и уничтожает майнинговые вирусы

[Илья Морозов]

 

 

Исследователи Qihoo 360Netlab обнаружили новый ботнет Fbot, который не пытается нанести системам пользователей какого-либо вреда – вместо этого он ищет и удаляет определенные виды программ для скрытого майнинга.

 

Fbot – модифицированная версия ботнета Satori, основанного в свою очередь на Mirai. Обычно программа используется для DDoS-атак, однако в данном случае этот модуль был деактивирован. Вместо этого Fbot охотится на com.ufo.miner – вариацию ADB.Miner, предназначенного для майнинга Monero на Android.

 

Ботнет ищет в сети устройства, на которых открыт определенный порт, после чего с помощью скрипта деинсталлирует com.ufo.miner, устанавливается в систему вместо него и удаляется.

Примечательно, что код Fbot связан с доменными именем, которое доступно через децентрализованную альтернативу DNS – EmerDNS.

 

«Выбор EmerDNS вместо традиционной DNS – очень интересный. Благодаря этому исследователям оказалось значительно сложнее обнаружить и отслеживать ботнет, поскольку системы безопасности обычно сканируют лишь традиционные адреса DNS», – говорится в отчете.

 

Впрочем, цель запуска нового ботнета пока неизвестна – сделано ли это из лучших побуждений или для борьбы с хакерами-конкурентами.

 

Отметим, что за последний год майнинговые вирусы стали очень популярны среди хакеров. Ранее антивирусная компания Trend Micro сообщила, что количество криптомайнинговых атак выросло на 956% с первой половины 2017 года до первого полугодия 2018 года. По данным той же компании, в настоящее время 920 000 серверов уязвимы для криптоджекера Wannamine.

 

 

Источник