"ЛК" помогла "Майкрософту" завалить ботнет

комментировать
версия для печати

Компания Microsoft отчиталась о нейтрализации ботнета Kelihos и начале судебного преследования его владельцев. Техническим партнёром компании в этом деле была "Лаборатория Касперского".

В ходе т.н. "Операции b79" "Майкрософт" заручился решением суда, позволившим компании предпринять меры по отключению заражённых компьютеров от командных центров. Также был подан судебный иск в отношении некоего Доминика Александра Пьятти (Dominique Alexander Piatti) и чешской фирмы dotFree Group, на которых зарегистрирован домен cz.cc. Дело в том, что более двух десятков субдоменов cz.cc использовались в схеме управления ботнетом Kelihos; кроме того, многие такие домены участвовали и в другого рода вредоносной деятельности — например, распространяли лже-антивирус для "Маков" Mac Defender.

В иске упоминаются и владельцы доменов третьего уровня, задействовавшихся в работе Kelihos — правда, в качестве "Джонов Доу", то есть неизвестных лиц. Компания Microsoft уже вышла на контакт с Пьятти и ведёт с ним переговоры. Цели расследования: выяснить, какие из его клиентов являются добропорядочными, с тем чтобы вернуть в строй их домены (а весь cz.cc сейчас не работает), а также выявить лиц, стоящих непосредственно за ботнетом.

Как сообщают в Microsoft, нейтрализованный ботнет участвовал в распространении спама (в том числе фарма-спама, скам-сообщений, рекламы сайтов с детской порнографией), сборе конфиденциальных данных пользователей заражённых компьютеров. Сам ботнет сравнительно небольшой: в ходе расследования эксперты насчитали около 41 тысячи уникальных IP-адресов, входящих в сеть.

Технические подробности того, как именно функционировал Kelihos и как осуществлялась операция по отключению связи между зомби-компьютерами и контролирующими центрами, раскрываются в англоязычном блоге "Лаборатории Касперского". Вкратце: ботнет Kelihos (в "ЛК" его называют Hlux) работал по хитрой схеме, включавшей прямое взаимодействие между ботами (P2P-сеть). После того как антивирусные эксперты тщательно изучили всю эту кухню, они сумели переключить внимание ботов только на свой компьютер.

Заодно в "ЛК" собрали статистику по странам и начали взаимодействовать с интернет-провайдерами, которым принадлежат IP-адреса заражённых компьютеров (к слову, в "ЛК" насчитали 49 тысяч уникальных "айпишников" этого ботнета, то есть больше, чем сообщили в "Майкрософте"). Компания Microsoft, со своей стороны, обновила свою утилиту Malicious Software Removal Tool, с тем чтобы пользователи заражённых компьютеров могли "вылечиться" в полуавтоматическом режиме.

В "Лаборатории Касперского" отмечают, что теоретически могли бы провести очистку без участия пользователей, однако во многих странах такие действия считаются незаконными, поэтому от этого варианта пришлось отказаться.

Напомним, что это уже третья операция по нейтрализации ботнетов, которая проведена по инициативе компании Microsoft: до этого она разделалась с более именитыми зомби-сетями Waledac и Rustock. Подход "Майкрософта" отличается сочетанием мер технического и юридического характера: компания пытается судиться с ботоводами на основании того, что от их действий страдают её клиенты, то есть пользователи Windows. Владельцев "Рустока" при этом искали через московские и питерские газеты — не столько надеясь на то, что они объявятся, сколько обеспечивая таким образом выигрыш дела в суде в одностороннем порядке (то есть в отсутствие ответчика). Ботмастера, понятно, не объявились, так что теперь их поисками займётся ФБР.

Другие новости