Корпорация Microsoft осуществила очередной крупномасштабный “налёт” на ботнет: на сей раз жертвами героических (в прямом смысле и без всякой иронии) усилий стали контрольные центры нескольких ботнетов злополучного семейства Zeus.

Zeus в целом представляет собой гигантский конгломерат из вредоносных сетей; количество заражённых компьютеров, входящих в него, составляет, по некоторым оценкам, до 13 миллионов, из которых три с лишним миллиона приходятся на США.

Рождение и смерть ботнета Rustock

В середине марта ботнет Rustock прекратил работу. Его командные пункты замолчали, а потоки спама, который он рассылал, иссякли. Количество спама в интернете тут же сократилось втрое.

Его “управляющее” ПО, предназначенное для заражения новых машин и, соответственно, создания новых ботнетов, продаётся на чёрном рынке по ценам от 700 до 15 тысяч долларов, в зависимости от функциональности. Соответственно Zeus представляет целый конгломерат сетей, у которых разные владельцы, но одно и то же назначение: воровать деньги. По оценкам Microsoft, сетей, в основу которых легли разновидности трояна Zbot, насчитывается несколько сотен.

Zbot и его разновидности включают backdoor-компоненту и keylogger, который включается, как только ничего не подозревающий пользователь набирает название какого-либо финансового учреждения. Keylogger затем пересылает собранную информацию владельцу. Таким образом воруются личные данные, пароли и номера кредитных карт. Ещё в 2010 году ФБР, вместе с правоохранительными органами других стран проводившее спецоперацию против владельцев ботнетов семейства Zeus, объявило, что преступники успели обогатиться на 70 млн долларов в общей сложности.

Проблема состоит ещё и в том, что троян очень сложно обнаружить и удалить: свои присутствие и жизнедеятельность он маскирует крайне эффективно.

DDoS: услуги интернет-киллеров для всех желающих

DoS-атаками называют попытки заблокировать доступ обычных пользователей к определённым сетевым ресурсам посредством перегрузки серверов мусорным трафиком.

В 2010 году по запросу ФБР в США, Великобритании и Украине были арестованы более 100 человек. Ботнеты Zeus, однако, продолжали исправно функционировать.

За дело взялась корпорация Microsoft и её отдел по борьбе с киберпреступностью. У него уже есть весьма обширный и позитивный опыт по выкорчёвыванию ботнетов – в марте прошлого года Microsoft вывела из строя ботнеты Rustock, Waledac и Kelihos. Процедура во всех случаях выглядела по-разному, но с Rustock – так же, как с Zeus: сбор доказательств, выявление условных подозреваемых (в случае с Zeus это 39 “неустановленных лиц”), получение судебного ордера, захват (при силовой поддержке правоохранительных органов) серверов, на которых располагаются контрольные центры ботнета. С ведома и разрешения суда захвачены также 800 доменов, связанных с Zeus.

“Мы не надеемся тем самым ликвидировать все ботнеты семейства Zeus на свете. Однако вместе [с партнёрами] нам удалось нарушить работу нескольких наиболее опасных ботнетов, и мы надеемся, что это будет иметь далеко идущие последствия для киберпреступного сообщества”, – указывается в блоге Microsoft Technet.com.

Любопытно, что если в случае с Rustock корпорация Microsoft прибегла к поддержке фармацевтической фирмы Pfizer (производителя “Виагры”, подделки под которую через Rustock активно рекламировали спамеры), то сейчас партнёрами Microsoft оказались ассоциация операторов электронных платежей NACHA – The Electronic Payments Association и агентство FS-ISAC (Центр по распространению и анализу информации в сфере финансовых услуг). Иски к неустановленным владельцам ботнетов, известных только по никнеймам, NACHA и FS-ISAC подавали вместе с Microsoft.