ФБР приказало российскому ботнету остановиться

комментировать
версия для печати

При помощи специалистов Internet Systems Consortium и при активном участии Федерального бюро расследований центры управления ботнетом Coreflood были заменены на "хорошие", которые принялись рассылать на зомби-компьютеры команду "stop". Успех по приостановке работы бот-сети планируется подкрепить дополнительными мерами на уровне провайдеров, сообщает Wired.

Во вторник Министерство юстиции США сумело получить временный судебный запрет, легализующий действия по конфискации серверов в пяти разных штатах, с которых когда-либо производилось управление ботнетом Coreflood, и отбору соответствующих доменных имён. Также было получено разрешение на определение IP-адресов заражённых компьютеров, находящихся на территории США, и передачу на них команды на прекращение вредоносной деятельности.

Такая команда сейчас отправляется на заражённый компьютер каждый раз, когда тот перезагружается. Чтобы вычистить компьютер от присутствия Coreflood-ботов, требуются более радикальные меры. Власти намереваются передать списки IP-адресов зомби-компьютеров провайдерам, которые должны будут известить своих клиентов об обнаружении в их системах вредоносного ПО. Компания Microsoft разработала соответствующее обновление для стандартного средства Windows по удалению вредоносных программ.

В США подобная операция проводится впервые. Ранее перехватом контроля над ботнетами занимались лишь голландцы: летом 2008 года они при помощи специалистов "Лаборатории Касперского" ("ЛК") разослали инструкции по "лечению" на заражённые компьютеры ботнета Shadow, а в прошлом году аналогичным образом зачистили группу ботнетов Bredolab.

Coreflood уже около десяти лет занимается сбором различной критической информации с пользовательских компьютеров. Как сообщил "Вебпланете" ведущий вирусный аналитик "ЛК" Сергей Голованов, боты Coreflood детектируются его компанией ещё с ноября 2002 года как Backdoor.Win32.Afcore.

"До 2011 года было обнаружено более 2000 модификаций этой вредоносной программы. За это время она перетерпела несколько значительных изменений в части ее управления (протоколы IRC, http, https), поддерживаемого набора команд от злоумышленника. Единственной неизменной частью в программе оставалась инструкция по ее удалению во всех экземплярах", — говорит эксперт.

В базе "ЛК" имеется описание для модификации Backdoor.Win32.Afcore.q, выпущенной в конце сентября 2003 года.

Голованов затруднился с более-менее точной оценкой размеров ботнета. Он сообщил, что с начала 2011 года продуктами "ЛК" было заблокировано более 2500 попыток заражения этим вредоносом, поэтому, считает эксперт, скорее всего, речь идет о нескольких десятках тысяч заражённых компьютеров.

В то же время, по данным американских властей, в период с марта 2009 по январь 2010 года один из контролирующих центров этого ботнета собрал 190 Гбайт данных, украденных с 400 тысяч компьютеров. Всего же за всё время работы он контролировал более 2 млн различных машин, говорится в судебных материалах. (Не очень понятно, учитывалась ли при подсчёте возможность того, что одни и те же боты могут выходить в Сеть под разными IP-адресами.)

Исходя из той же статистики "ЛК", можно также предположить, что на территории США находится примерно половина ботнета Coreflood. Очевидно, другая половина ботов не получила команды "stop" и продолжает собирать пароли и прочую важную информацию. Другой вопрос — куда они их отсылают. "Вебпланете" пока не удалось выяснить, имеются ли у Coreflood какие-то контролирующие центры за пределами США.

Несколько лет назад USA Today, ссылаясь на экспертов по безопасности из F-Secure и SecureWorks, писала, что Coreflood управляется преступной группой из "южной России". В судебных документах сейчас фигурирует 13 ответчиков, имена которых неизвестны или не разглашаются.

Злоумышленники неплохо обогащались на украденных данных. В частности, судя по предоставленным суду документам, они увели с банковского счёта одной компании из Мичигана 115 с лишним тысяч долларов, у юридической конторы из Южной Каролины украли $78,4 тысячи, у инвестфонда из Северной Каролины — $151,2 тысячи, а у военного подрядчика из Теннесси — почти 242 тысячи долларов.

Другие новости