У Virut отобрали ключевые домены

Ведущий телеоператор Польши и администратор национального реестра, NASK (Naukowa i Akademicka Sieć Komputerowa), установил контроль над 23 местными доменами, задействованными в командной инфраструктуре ботнета Virut.

Полиморфный вирус Virut, заражающий исполняемые файлы Windows, появился в интернете более 6 лет назад. Он распространяется через съемные носители, файлообменники, при этом зараженным может оказаться не только исполняемый, но и html-файл. Virut обладает функционалом бэкдора, и IRC-ботнет, созданный на его основе, зачастую используется для распространения других вредоносных программ, участвуя в многочисленных PPI-партнерках. С&С адреса и номера портов жестко прописаны в коде этого зловреда, хотя в начале текущего года он, по данным Symantec, обзавелся генератором доменов, ― резервным механизмом, позволяющим ботоводам быстро восстановить управление, если основные С&С домены окажутся вне доступа.

В настоящее время в состав ботнета Virut входят сотни тысяч зомби-машин. Symantec в конце 2012 года регистрировала порядка 308 тыс. активных ботов в сутки, отмечая их высокую концентрацию в Египте, Пакистане, Индии и Индонезии. Антивирусные решения «Лаборатории Касперского» за минувший год обнаружили Virus.Win32.Virut.ce  на машинах 3 млн. уникальных пользователей. В годовом рейтинге от ЛК этот зловред занял 5 место по локальным заражениям, с показателем 6,8% всех детектов. Польская CERT (группа быстрого реагирования на компьютерные инциденты), со своей стороны, отмечает, что в Польше в 2012 г. было зафиксировано свыше 890 тыс. заражений Virut (уникальных IP-адресов).

В командной инфраструктуре Virut используется, по данным Spamhaus, несколько десятков ключевых доменов, привязанных, в основном, к польской национальной зоне. В минувшем декабре активистам удалось приостановить обслуживание всех польских C&C доменов, оформленных через разных регистраторов, ― перемену статуса этих доменов тогда же отметили наблюдатели из Symantec. К сожалению, ботоводы быстро нашли нового регистратора, и Spamhaus вновь пришлось обращаться к полякам. В результате совместных усилий весь DNS-трафик pl-доменов Virut был перенаправлен на серверы  польской CERT, работающей под эгидой NASK. Как выяснилось, некоторые из этих доменов использовались также ботоводами ZeuS и Palevo. 

Помимо поляков, Spamhaus связалась с австрийской CERT и российской CERT-GIB, чтобы нейтрализовать остальные C&C домены Virut. К сожалению, практика показывает, что подобные акции против ботнетов приносят лишь кратковременный успех. Ботоводы находят другие пристанища или задействуют альтернативные механизмы поиска центров управления. А у Virut он, если верить Symantec, уже есть ― в виде DGA, генератора доменов.