Специалисты китайской компании Qihoo 360 сообщили об обнаружении нового ботнета, получившего название FBot. Он создан на основе одного из вариантов печально известного вредоносного ПО Mirai. Зловред сканирует сеть в поисках открытых портов 5555, которые используются сервисом Android Debug Bridge (ADB). При обнаружении таких портов на устройства через интерфейс ADB загружается вредоносный код.
Впрочем, назвать его действительно вредоносным достаточно сложно, во всяком случае, пока. Дело в том, что активность FBot на данный момент ограничена борьбой с другим вредоносным ПО. В частности, он идентифицирует устройства, зараженные майнером криптовалюты com.ufo.miner – и удаляет зловред. Впрочем, исследователи далеки от мысли, что новый ботнет создан исключительно с добрыми намерениями. Они склонны считать, что скорее FBot борется с конкурентами, чтобы затем задействовать собственные вредоносные функции.
Другой особенностью FBot является то, что связь с операторами осуществляется через альтернативную децентрализованную систему доменных имен EmerDNS. Она основывается на базе блокчейна Emercoin.com и предполагает регистрацию в альтернативных доменных зонах, не зарегистрированных корпорацией ICANN. В частности, командный сервер операторов FBot использует домен musl.lib в одной из таких альтернативных зон. По словам представителей Qihoo 360, это затрудняет отслеживание вредоносной активности.
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970
