По словам исследователя компании Invincea Икенны Дайка, хакеры, видимо, узнали, как можно применять для осуществления DDoS-атак устройства, которые были инфицированы вымогательскими программами. Так, новая версия вредоноса из семейства Cerber демонстрирует подозрительную активность, похожую на UDP флуд.
Эксперт сообщает, что новая разновидность вымогательской программы Cerber, по всей видимости, является многофункциональным решением.
По словам исследователя, код вредоносной программы был запутан. Примечательно, что некоторые фрагменты были, вероятно, специально добавлены в код, чтобы сбивать экспертов с толку.
Дайк выяснил, что вредоносная программа может создавать текстовые документы и превращать их в файлы с расширением .vbs, которые можно выполнять. После создания и запуска скрипта появляется файл 3311.tmp, непосредственно являющийся вымогательской программой Cerber.
Помимо этого, вредоносная программа заменяет скринсейвер, установленный пользователем, на сообщение, содержащее требование выкупа, а также обращается к большому количеству адресов, находящихся в диапазоне от 85.93.0.0 до 85.93.63.255. Программа создает шестнадцатеричный .tmp-файл, постоянно запускающий процесс explorer.exe. Данный процесс также генерирует ряд файлов .tmp и осуществляет их запись на диск. Вероятнее всего, этот цикл действий представляет из себя дочерний процесс 3311.tmp.
Как сообщает Дайк, сетевой трафик, генерируемый программой, выглядит как флуд UDP-пакетами, который направлен на подсеть через порт 6892. С помощью подмены целевого адреса хост может переадресовать весь ответный трафик от подсети на компьютер жертвы, вследствие чего тот перестанет отвечать.