Pesquisadores detectaram uma nova rede botnet. Está rede é formada por um trojan horse especifico que gerencia o download e a instalação de software maliciosos.
Segundo a Arbor Networks, o trojan Heloag instala-se automaticamente depois de ser baixado através dos dominios 7zsm.com ou elwm.net. Ele se auto-carrega no diretório Windows criando uma chave no registro do sistema sendo iniciado junto com o mesmo.
Após inicializado ele fica escutando na porta 8090/TCP e aguarda por um comando do servidor C&C que vêm através de simples bytes:
01 – initial hello
02 – keep alive, idle message
03 – download the named file
04 – connect to other peers
05 – send hostname to server
06 – clear
07 – close connection
Como qualquer trojan que se preze ele permite um total controle da máquina afetada permitindo que a máquina faça parte de uma rede zumbi.
Seguem os links [1] [2] de posts que venho relatando outros problemas relacionados a malwares e algumas dicas para os usuários do Windows(tm).
Fonte:
New P2P Botnet Forming