Botnet HLUX na nowo

Pojawiła się nowa wersja botnetu HLUX, którego pierwowzór został niedawno zamknięty przez ekspertów z Kaspersky Lab, Microsoftu, SurfNET i Kyrus Tech.

Szkodnik, którego cyberprzestępcy używają do zwiększania ilości zainfekowanych komputerów w botnecie HLUX rozprzestrzenia się sam i posiada możliwość przeprowadzania ataków DDoS, pozwalających na spowolnienie lub całkowite zatrzymanie funkcjonowania serwerów podłączonych do Internetu.

Dodatkowo, szkodliwy program posiada następujące funkcje:

- infekowanie pamięci flash (na przykład pendrive),
- wyszukiwanie w plikach konfiguracyjnych systemu operacyjnego informacji o programach służących do obsługi serwerów FTP,
- możliwość kradzieży portfeli Bitcoin oraz tworzenia własnej kopalni Bitcoin,
- możliwość działania w trybie serwera proxy,
- wyszukiwanie adresów e-mail w plikach znajdujących się na komputerze,
- przechwytywanie haseł, sesji FTP oraz HTTP w ruchu sieciowym.

Tak jak poprzednio, botnet HLUX otrzymuje głównie polecenia rozprzestrzeniania spamu. Jednak, na komputerach przyłączanych do sieci zainfekowanych komputerów instalowany jest również szkodliwy program, którego głównym zadaniem jest manipulowanie wyszukiwarkami. W wyniku jego dziania użytkownicy zamiast widzieć to, czego szukają, patrzą na informacje, które chcą im wyświetlić cyberprzestępcy.

Przechwycone dane dostępowe do serwerów FTP są wykorzystywane przez cyberprzestępców do umieszczania szkodliwych skryptów Java na stronach WWW. Skrypty te przekierowują użytkowników zhakowanych stron do zestawu szkodliwych programów infekujących poprzez wykorzystanie szeregu luk w zabezpieczeniach systemów operacyjnych oraz aplikacji.

Innymi słowy, cyberprzestępcy stojący za HLUXem robią wszystko, co tylko mogą, by przyłączać nowe komputery do botnetu, i atakują użytkowników na wszelkie możliwe sposoby.

źródło: KasperskyLab