«Бабочка» под прицелом

Швейцарские активисты, занимающиеся мониторингом ботнетов ZeuS, а с недавних пор и SpyEye, запустили сервис Palevo Tracker. Новый ресурс предоставляет открытый доступ к актуальной статистике и призван привлечь внимание интернет-общественности к растущей угрозе.

Червь-полиморфик Palevo (P2P-Worm.Win32.Palevo) приобрел печальную известность в конце 2009 года, когда был обезоружен гигантский ботнет Mariposa (по-испански «бабочка»), составленный на его основе. После этого события интерес СМИ к зловреду постепенно угас, хотя сам он успешно продолжает завоевывать место под солнцем, имея для этого все предпосылки. Напомним, что Palevo наделен функционалом бэкдора и распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями. Он может долго оставаться незамеченным: постоянно обновляется, шифрует данные, отсылаемые в центр управления, и использует UDP-протокол.

Эффективный функционал и высокая скорость распространения давно снискали Palevo популярность в криминальных кругах. Если также учесть, что червь доступен на черном рынке в составе готового комплекта для построения ботнетов, становится понятным, почему в минувшем году он был обнаружен на миллионах ПК. (В рейтинге ЛК за прошлый год Palevo занял 10-е место по числу локальных заражений.) В настоящее время, по данным Palevo Tracker, общее количество C&C серверов бота-«бабочки» приблизилось к 80, и большинство из них активны. В России они нашли приют в сетях ОАО «Вебальта» (AS 41947).

Остается надеяться, что массовое отключение функции автозапуска в Windows, на которое, наконец, отважилась Microsoft, поможет сдержать натиск Palevo и других зловредов, использующих эту, в общем-то, полезную «фичу» для самораспространения.