Перейти к содержанию
Сергей Ильин

Рейтинг ботнетов по версии ESET

Recommended Posts

Сергей Ильин

В канун Хэллоуина международная антивирусная компания ESET подготовила рейтинг самых опасных «зомби-сетей». Первая мысль когда читаешь это - имена все какие-то с бородой. Неужели ничего более нового и интересно не появилось за последний год-два?

****************

В состав «армии зомби» – ботнета – могут входить миллионы зараженных вредоносным ПО компьютеров, которыми дистанционно управляют киберпреступники. «Зомби-сеть» используется для DDoS-атак, рассылки спама, накрутки кликов, кражи персональных данных – без ведома жертвы. При этом зараженные машины атакуют «здоровых» в лучших традициях постапокалиптических фильмов.

1. Storm

В 2007 году червь Storm «зомбировал» до десяти миллионов компьютеров по всему миру. Это первая, но далеко не последняя в истории человечества атака подобного масштаба.

Операторы Storm впервые использовали тактику, которая до сих пор в ходу у киберпреступников. Вредоносное ПО распространялось в письмах с заголовками в стиле «ШОК! ВИДЕО!» и с применением методов социальной инженерии. Схемы заражения, равно как и вредоносный код, постоянно менялись.

Кроме того, создатели Storm первыми получили финансовую прибыль от ботнета – их армия продавалась по частям и использовалась в разных вредоносных кампаниях. «Боевые зомби» атаковали даже информационные сети антивирусных вендоров и веб-ресурсы о безопасности.

2. Conficker

Поведение «зомби-сетей» невозможно прогнозировать – ботнет скромных размеров может в любой момент превратиться в миллионную армию «зомби».

В 2008-2009 гг. ботнет Conficker объединил до 15 млн «зомби-машин». Совокупная вычислительная мощь сети превосходила возможности существующих суперкомпьютеров. Создатели ботнета могли использовать его для DDoS-атак на интернет-ресурсы, кражу данных и спам-рассылки.

В борьбе с Conficker участвовали ведущие антивирусные вендоры, включая ESET. Им удалось значительно сократить численность «армии зомби». Но вирус мутирует, и сегодня, шесть лет спустя, опасность заражения все еще существует.

3. Zeus

Как известно из кино, зомби-апокалипсис настанет быстрее, если вирус будет заражать не только людей, но и животных. Создатели ботнета Zeus руководствовались схожим принципом – пока компьютеры на базе Windows пополняли «армию зомби», мобильное вредоносное ПО осуществляло кражу данных онлайн-банкинга с устройств на Symbian, Windows Mobile, Android и Blackberry.

В 2012 году ботнет был повержен, но, по законам жанра, «восстал из мертвых», реконструированный на базе оригинального кода. Летом 2014 года с новым ботнетом Gameover Zeus справились специалисты ФБР и партнеры ведомства.

Но история продолжается – создатели ботнета работают над его возвращением, а тем временем по схеме Zeus распространяется небезызвестный троян-вымогатель Cryptolocker.

4. Flashback

Ботнет Flashback шокировал людей, убежденных в том, что вирусов для Мас OS X не существует. Доказывая обратное, его создатели «обратили в зомби» более 600 тыс. машин по всему миру, используя уязвимость нулевого дня в плагине Java.

Получив в свое распоряжение значительную долю компьютеров Apple по всему миру, создатели армии «яблочных зомби» попытались зарабатывать деньги на кликах. Идея провалилась, так как «зомби» не проходили фейсконтроль систем обнаружения мошенничества.

Пока в мире остаются зараженные трояном Flashback компьютеры Мас, нельзя с уверенностью утверждать, что эпидемия в прошлом. Кто знает, что придумают создатели этой «армии зомби».

5. Windigo

На первый взгляд, ботнет Windigo не представляет особой опасности – он «всего лишь» крадет учетные записи пользователей и использует «зомби-машины» для рассылки спама. С другой стороны, его создатели собирали свою «армию» почти три года, не привлекая внимания специалистов по информационной безопасности.

Жертвы Windigo – порядка 25 тыс. веб-серверов под управлением Linux, а, значит, и веб-сайты, которые ежедневно посещают миллионы человек. «Зомби» Windigo атакуют всех – пользователи Windows перенаправляются на набор эксплойтов, Мас-юзерам демонстрируется реклама сайтов знакомств, а с iPhone осуществляется переход на «взрослый» контент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits
    • PR55.RP55
      После запуска: на: uVS v4.11.7 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] Программа просто зависла. ( Анализ Автозапуска... ) После перезагрузки системы - программа запустилась нормально...      
    • demkd
      Дополнение:
      В Vista dns лог не работает и работать не будет,
      Win7, Win8 не работает, но возможно получится прикрутить в урезанном виде без фильтрации левых адресов и ответа сервера.
      Работает начиная с Win 8.1.
      Адреса можно вносить в базу проверенных.
    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
×