Нетбот Win32/Georbot управляется с официального сайта правительства Грузии
Компания ESET, занимающаяся разработкой антивирусного программного обеспечения, недавно обнаружила в сети бот по названием Win32/Georbot.
Он управляется с официального сайта правительства Грузии и похищает документы и цифровые сертификаты с зараженных компьютеров.
Любопытно, что вирус интересуется не всеми подряд файлами — он «оптимизирован» на файлы, в которых содержатся такие ключевые слова, как «министерство», «служба», «секретно», «говорит», «агент», «США», «Россия», «ФБР», «ЦРУ», «оружие», «ФСБ», «КГБ».
«Способный» бот самостоятельно собирает информацию о локальной сети, умеет обращаться с веб-камерой и делать снимки рабочего стола компьютера.
Наконец, Win32/Georbot обладает механизмом, позволяющим ему «уходить» от антивирусных программ, установленных на компьютере, а так же получать команды через резервный «командный пункт», находящийся на одном сервере с официальным сайтом правительства Грузии, в случае недоступности главного центра.
Как утверждают в ESET, вирус ориентирован в первую очередь на грузинских пользователей — 70% всех зараженных им компьютеров находилось именно там. В США выявлено 5.07% зараженных компьютеров, в Германии 3.88% и в России 3.58%.
Специалисты, тем не менее, отмечают, что эти цифры не говорят о том, что правительство Грузии и является «хозяином» бота Win32/Georbot. По словам менеджера по глобальному мониторингу вредоносной активности ESET Пьера-Марка Бюро, — «Довольно часто организации не знают о том, что их серверы были скомпрометированы.
Однако стоит отметить, что Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации. «Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг».
Комментировать