В Symantec обнаружили вредоносную программу Zemra

Zemra. Впервые программа появилась на подпольных форумах в мае 2012 года по цене 100 евро.

Панель управления вредоносной программы расположена на удаленном сервере. Она позволяет отслеживать количество заражений, а также отдавать команды подчиненным компьютерам.

По сравнению с другими подобными предложениями, Zemra предоставляет злоумышленникам большое количество возможностей: проведение DDoS-атак, мониторинг устройств, загрузка и выполнение двоичных файлов, установка и проверка наличия заражения, распространение по USB, автоматические обновление и деинсталляция, сбор информации о системе, 256-разрядное шифрование взаимодействия сервера с клиентом по протоколу DES.

Осуществление DDoS-атак на удаленный ПК – главное назначение программы. Перед началом работы Zemra собирает с зараженных компьютеров информацию об оборудовании, текущем пользовательском программном агенте, уровне прав пользователя и версии ОС. После автоматической обработки данных на сервере формируется список готовых к выполнению заданий компьютеров.

Исследование программы позволило определить два типа DDoS-атак, реализуемых этим ботом, – HTTP-флуд и SYN-флуд.

При атаке первого типа происходит открытие соединения с произвольным портом атакуемого компьютера, после чего соединение на стороне клиента закрывается и открывается новое с небольшой паузой.

Атака второго типа позволяет отправлять множество пакетов вызова на компьютер-мишень одновременно. Задачей подобного типа атак является создание перегрузки сервера при обработке им сетевых запросов.

Для предотвращения заражения этим вирусом в Symantec рекомендуют использовать защитное ПО последней версии с обновленными антивирусными базами.