“Лаборатория Касперского” объявила о том, что ей снова пришлось повоевать с ботнетом Kelihos. В сентябре прошлого года Microsoft, “Лаборатория Касперского” и несколько их партнёров нанесли, казалось бы, фатальный удар по спамерскому ботнету Kelihos, но вскоре обнаружилась новая сеть, в основе которой лежала новая версия “бота” Kelihos (он же Khelios, он же Hlux) с новой функциональностью.

В целом бот Kelihos, по сведениям “Лаборатории Касперского”, обладает следующими функциями:

  • Бот умеет заражать флешки, создавая на них файлы «Copy of Shortcut to google.lnk» а ля Stuxnet.
  • Бот умеет искать конфигурационные файлы для множества FTP-клиентов и передавать их на серверы управления.
  • В боте встроен функционал кражи Bitcoin кошелька.
  • В боте встроен функционал Bitcoin miner’a.
  • Бот умеет работать в режиме прокси-сервера.
  • Бот ищет на диске файлы, содержащие адреса электронной почты.
  • Бот имеет сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий.

Самое же неприятное, что этот ботнет работает по p2p-принципу. То есть у него нет центрального контрольного сервера (или серверов), захватив который (как Microsoft и её партнёры поступали в случаях с Rustock и Zeus), можно было нейтрализовать весь ботнет разом.

В случае с Kelihos/Khelios/Hlux процедура выглядела иначе: ботнеты попросту угнали у их владельцев.

В то время как p2p-ботнет невозможно “обезглавить” захватом нескольких серверов, у него тоже есть слабое место: если удаётся расшифровать протокол, с помощью которого осуществляется обмен данными в ботнете, то можно внедрить в ботнет фальшивый управляющий центр. Или даже целое множество таковых:

В течение недели, начиная с 19 марта 2012 года, «Лаборатория Касперского», команда CrowdStrike Intelligence, Honeynet Project и Dell SecureWorks проводили операцию по внедрению sinkhole-маршрутизатора, в ходе которой ботнет был успешно обезврежен. В отличие от традиционных ботнетов, которые для управления сетью используют один командный сервер (C&C), Hlux/Kelihos имеет пиринговую архитектуру, которая подразумевает, что каждый компьютер может выступать в качестве как сервера, так и клиента. Для нейтрализации подобной схемы группой экспертов по безопасности была создана глобальная распределённая сеть, состоящая из компьютеров, которые были внедрены в инфраструктуру ботнета. Вскоре эта сеть стала настолько масштабной, что «Лаборатория Касперского» смогла нейтрализовать действие ботов, предотвратив возможность получения ими вредоносных команд.

В результате у владельца(-ев) Kelihos ботнет в буквальном смысле отобрали, причём уже второй раз подряд. Выяснилось, что большинство из 116 тысяч заражённых этой версией бота Kelihos машин располагается в Польше и США. И опять-таки почти все они без исключения работают под управлением Windows XP.

К сожалению, похоже, сразу после ликвидации этого ботнета его бывшие владельцы приступили к формированию нового: новая версия (условно именуемая Kelihos.C) распространяется через Facebook.