DNSChanger: проблема удаления зловреда с 4 миллионов зараженных машин

Интернет полон зараженных компьютеров. По осторожным оценкам, в любой момент времени к интернету подключено более 40 миллионов зараженных компьютеров-жертв и «хостов», используемых для распространения вредоносного ПО. В их числе и традиционные компьютеры, и сетевые устройства, и смартфоны. Это значит, что в Cети очень много ресурсов, представляющих собой рассадники киберпреступности, вирусов, червей, эксплойтов и шпионского ПО. Выдвигалось много предложений о том, как вычистить эти авгиевы конюшни, однако, проблемы сложны, а дежурная очистка занимает гораздо больше времени, чем ожидалось.

Массовая эксплуатация уязвимостей остается для киберпреступников постоянным занятием, а также серьезной проблемой, поскольку для них это отчасти лотерея. Хотя эксплуатация и заражение миллионов машин может в какой-то момент привлечь внимание правоохранительных органов, некоторые готовы идти на такой риск в надежде получить миллионы долларов, которые, вероятно, можно было бы заработать и по-другому при том же уровне усилий. Для примера возьмем зачистку зараженных компьютеров от троянца DNSСhanger, происходящую в настоящее время. Это дело, расследование которого ведет ФБР, вылилось в серию арестов и отключение серверов злоумышленников, соблазнившихся размером потенциальной прибыли и незаконным образом взявших под контроль 4 миллиона компьютеров, работающих под Windows и MacOS.

При отключении ботнета DNSChanger были обезврежены только DNS-серверы компании Rоve Digital, несмотря на то, что, в распространенном по этому поводу заявлении было сказано: «сегодня ФБР и наши партнеры одним махом обезвредили преступное предприятие Rove». И хотя жертвы, как правило, не рассматриваются в качестве участников банды киберпреступников, если не решить проблему четырех миллионов подключенных к интернету компьютеров, зараженных DNSChanger, на многие из которых не устанавливаются обновления Windows, этой возможностью смогут воспользоваться другие злоумышленники. Несмотря на то, что уже накоплен опыт борьбы с ботнетами путем взаимодействия с вредоносным кодом самих ботов через захваченные командные серверы, от использования подобных мер в очередной раз отказались. Ботнеты Bredolab (не менее 3 миллионов зараженных хостов) и Coreflood/Afcore (свыше 2 миллионов хостов) — это, вероятно, два самых значительных за последнее время примера использования правоохранительными органами команд, посылаемых с командных серверов, для повышения эффективности очистки зараженных машин. А как обстоят дела с очисткой ботнета DNSChanger спустя четыре месяца после отключения серверов, учитывая, что подобного вмешательства в данном случае не было?

Похоже, все не так уж гладко. На долю США из 4 миллионов зараженных хостов приходится примерно полмиллиона, и очистка не идет по плану. Между тем подошел срок, установленный для рабочей группы по DNSChanger на начало марта. К этому сроку рабочая группа должна была отключить DNS-серверы, установленные ФБР совместно с ISC (Internet Systems Consortium) для замены вредоносных DNS-серверов, которыми управляли эстонские киберпреступники. О масштабе проблемы говорит то, что в сети всего лишь одного из интернет-провайдеров оставалось 50 тысяч зараженных машин, на очистку которых требовалось дополнительное время. Исходя из этого ФБР подало судье, назначившему срок отключения DNS-серверов на 8 марта, ходатайство о его переносе на 9 июля, что позволяло фактически удвоить время, отведенное на очистку хостов, зараженных DNSChanger.

По сведениям из различных источников, компьютерные системы около половины компаний из списка Fortune 500, сотен предприятий и многих государственных учреждений потеряли бы возможность разрешать доменные имена и стали бы бесполезными, если бы подменные DNS-сервера были отключены в начале марта.

Напрашивается вопрос: действительно ли подобное увеличение сроков было хорошей идеей? Рик Уоннер (Rick Wanner) из SANS Institute в этом не уверен: «Честно говоря, не могу сказать однозначно, является ли увеличение срока хорошей идеей. Я даже думать не хочу о том, что компаниям, с которыми я имею дело и которым доверяю свою личную информацию, может потребоваться больше 4 месяцев на устранение последствий заражения вредоносными программами, о котором им известно».

Если коммерческие предприятия и государственные организации не в состоянии обеспечить очистку своих компьютерных систем, что же делается для лечения домашних компьютеров? Отслеживаются DNS-запросы к подменным серверам, заменившим собой серверы злоумышленников, ведется журнал IP-адресов, с которых отправляются эти запросы. Эта информация передается провайдерам, которым принадлежат данные IP-адреса. Предполагается, что провайдеры смогут найти клиентов по IP-адресам и уведомить их о необходимости очистить компьютеры от вредоносной программы. Вот какое уведомление рассылает интернет-провайдер Comcast своим клиентам:

Как видим, ссылка переводит пользователей на срочное предупреждение о необходимости незамедлительных действий. Пользователь может попытаться удалить заражение самостоятельно или заплатить более $100 за соответствующую услугу:

Предполагается, что эта утилита позволит пользователям бесплатно обнаружить на своем компьютере троянец DNSChanger и удалить его. Она действительно обнаруживает и удаляет различные варианты DNSChanger. Но на моем компьютере она вдобавок причислила к потенциально вредоносному ПО достаточно популярную программу-отладчик ImmunityDebugger и предложил удалить ее. Похоже, что при оценке легитимности приложения утилита Eraser учитывает несколько факторов, в том числе количество «точек загрузки» (load points), которое она обнаруживает в системе, и репутацию приложения. Изменения, сделанные при помощи этого инструмента, можно откатить. В некоторой степени это может быть полезно людям, которые знают, что делают, и знают, какие предупреждения можно игнорировать. Утилита поможет удалить не только DNSChanger, но и другие вредоносные программы — ее можно рассматривать как достаточно универсальное средство для удаления заражения, что неплохо. Возможно, эта утилита подойдет не всем, но приятно видеть, что интернет-провайдеры предоставляют средства для удаления заражений, поскольку такие средства имеются в наличии, а для пользователей провайдеры — точка контакта. Было бы прекрасно, если бы пользователям предлагались как универсальные утилиты, так и более специализированные средства для удаления DNSChanger и других заражений, а также предоставлялся выбор компании, которой они готовы доверить лечение своего компьютера. Например, со своей стороны мы предлагаем утилиту TDSSKiller. Кроме того, для бесплатной загрузки доступны полнофункциональные пробные версии наших антивирусных решений.

Идеальный набор средств для лечения сложных заражений, связанных с к DNSChanger, вероятно, должен включать в себя TDSSKiller. Утилита постоянно обновляется. Она удаляет последние варианты TDSS и других руткитов. TDSS — платформа, которая используется для распространения DNSChanger, а также других вредоносных программ, которые отключают обновления и прекращают работу антивирусных программ, что сильно затрудняет лечение компьютера. Затем для завершения очистки DNSChanger пользователь может использовать другие сканеры и утилиты. В любом случае, операция GhostClick и предпринимаемые в ее рамках попытки справиться с заражением DNSChanger продемонстрировали со всей очевидностью недооценку угрозы, отсутствие правильного понимания проблем, связанных с заражением, сложность лечения и потребность в эффективных антивирусных решениях.