Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
о новом ботнете Fbot, который использует Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
вместо DNS и удаляет на зараженном устройстве малварь com.ufo.miner — вариацию Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
для взлома через открытые порты Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
(ADB).Принцип действия
Fbot работает на базе исходных кодов вредоносной программы Satori, которая в свою очередь является версией IoT-малвари Mirai. Он ищет открытые порты
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
и выполняет один из двух сценариев: hxxp://188.209.52.142/c или hxxp://188.209.52.142/w через интерфейс ADB. Они загружают на устройство вредоносные модули и поддерживают связь с управляющим сервером. Fbot удаляет из устройства com.ufo.miner и останавливает такие процессы, как:
Bash:
/data/local/tmp/smi
/data/local/tmp/xig
/data/local/tmp/trinity
/data/local/tmp/z
/data/local/tmp/log
/data/local/tmp/rig
/data/local/tmp/.f
/data/local/tmp/tygEmerDNS
Управляющий сервер Fbot находится на домене второго уровня .lib, который не зарегистрирован
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
. Ботнет использует децентрализованную блокчейн-систему доменных имен Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
.Получить доступ к веб-сайту .lib можно несколькими способами:
- через систему альтернативных DNS-серверов Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!;
- с помощью расширения в браузере;
- с помощью самостоятельной настройки узла Emer.
В декабре 2017 года специалисты обнаружили вредоносную программу Satori, насчитывающую 280 000 активных ботов. Она использует два эксплойта, которые подключаются к удаленным устройствам через порты 37215 и 52869.