Ботнеты SpyEye — где и сколько

Компания Damballa опубликовала результаты 8-месячного мониторинга активности ботнетов, созданных с помощью троянского тулкита SpyEye.

С 16 января по 16 октября эксперты обнаружили 173 уникальных домена и 17 IP-адресов, связанных с командной инфраструктурой этого зловреда, которого ЛК детектирует как Trojan-Spy.Win32.SpyEyes. (Будем надеяться, что на сей раз Damballa не посчитала заодно сервера-ловушки .) Как показали исследования, в состав ботнетов SpyEye, как правило, входит порядка 5 тыс. зараженных машин, хотя некоторые формирования насчитывают до 30 тысяч. Жизненный цикл этих бот-сетей в среднем составляет 1-2 месяца, однако, обнаруживают их лишь спустя месяц после запуска в эксплуатацию.

Центры управления SpyEye, выявленные за истекший период, хостились в сетях 77 интернет-провайдеров из 24 стран. Наибольшее количество C&C (30%) было обнаружено на территории Украины, 12% — в Чехии, 8% в США, порядка 6% в России. Наивысшие темпы роста популяции ботнетов на основе SpyEye наблюдались в июле-сентябре. По словам экспертов, этот зловред уже доказал свою эффективность и продается на черном рынке по дешевым расценкам, поэтому ожидать ослабления его натиска не приходится.

Недавно прошел слух о возможном объединении кодов SpyEye и ZeuS. Активисты Zeustracker сочли такой шаг маловероятным, но запустили новый сервис, SpyEye Tracker (пока на правах бета-версии). Они полагают, что настало время обратить внимание на соперника «Зевса», способного вырасти в не менее серьезную угрозу.

В настоящее время ZeuS по размерам популяции ботнетов намного превосходит SpyEye. По данным Zeustracker, в настоящее время в Сети функционирует свыше 200 активных центров управления ZeuS (всего около 500). Успехи SpyEye гораздо скромнее — менее 30 (всего 55; вся статистика приведена по состоянию на вечер 9.11).