Коротко о HLUX. Откуда, куда и зачем?

Ботнет HLUX уже не первый раз появляется в нашем блоге. При этом остаются открытыми вопросы, которые нам регулярно задают СМИ. Чем занимается этот ботнет? Какие команды получает от злоумышленников? Как распространяется бот? Сколько зараженных компьютеров входит в ботнет?
Но прежде чем начать отвечать на данные вопросы, еще раз отметим, что речь здесь идет о новом ботнете HLUX. Старый ботнет заблокирован и до сих пор не получает команды от злоумышленников и не рассылает спам. «Лаборатория Касперского» вместе с Microsoft’s Digital Crimes Unit, SurfNET и Kyrus Tech отключила ботнет и его инфраструктуру.
Результаты анализа новой версии бота ботнета HLUX (md5: 010AC0BFF69EB945108B57B40A4784BE, размер: 882176 B) приведены ниже.

Зачем?

Как известно, функционал бота — рассылка спама и возможность проведения DDoS атак. Мы обнаружили, что помимо этого:

1. Бот умеет заражать флешки, создавая на них файлы «Copy of Shortcut to google.lnk» а ля stuxnet.
2. Бот умеет искать конфигурационные файлы для множества FTP-клиентов и передавать их на серверы управления.
3. В боте встроен функционал кражи Bitcoin кошелька.
4. В боте встроен функционал Bitcoin miner’a.
5. Бот умеет работать в режиме прокси-сервера.
6. Бот ищет на диске файлы, содержащие адреса электронной почты.
7. Бот имеет сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий.

Часть кода работы HLUX с FTP клиентами

Часть кода работы HLUX по краже Bitcoin кошелька

Откуда?

Бот загружается на компьютеры пользователей со множества сайтов, расположенных на fast-flux доменах преимущественно в доменной зоне .EU. В систему бот устанавливается маленькими (~47КБ) даунлоадерами. Загрузки таких даунлоадеров зафиксированы на компьютеры в ботнетах GBOT и Virut. При этом даунлоадер может загружаться на компьютеры уже через несколько минут после того, как машины были заражены вышеперечисленными вредоносными программами (GBOT и Virut). Такой механизм распространения препятствует обнаружению первоисточника распространения бота.

Также зафиксированы установки бота в ходе Drive-by атак с помощью Incognito Exploit Kit.

Общее количество компьютеров, входящих в новый ботнет HLUX, оценивается в несколько десятков тысяч машин — исходя из цифры в ~8000 IP-адресов, замеченных в работе через p2p.

Куда?

Сейчас ботнет HLUX по-прежнему получает в основном команды на рассылку спама. Однако в то же время на ботнет устанавливается еще одна вредоносная программа, о которой мы писали здесь. Основной её функционал –мошеннические действия с поисковыми системами а ля TDSS.

Собранные HLUX пароли от FTP используются для размещения на сайтах вредоносных JavaScript’ов, перенаправляющих посетителей взломанных сайтов опять же на Incognito Exploit Kit. В этих атаках при установке бота используются, в основном, эксплойты к уязвимости CVE-2011-3544. Таким образом, HLUX реализует замкнутую схему распространения, аналогичную схеме, используемой Bredol.

Итого

Ботнет Hlux, как старый, так и новый, является ярким примером организации преступной деятельности в интернете. Владельцы данного ботнета участвуют практически во всех мошеннических схемах заработка: рассылка спама, кража паролей, мошенничество с поисковыми системами, DDоS и т.д. Мы продолжим наблюдение за данным ботнетом и будем держать вас в курсе технической стороны дела.

PS. На одном fast-flux домене, с которого раньше распространялся HLUX, мы обнаружили следующее.

Является ли это панелью управления ботнетом HLUX, пока неизвестно.