Два миллиона высокопоставленных зомби

Исследователи компании Finjan обнаружили ботнет из 1,9 миллиона зараженных ПК, многие из которых работают в сетях американских и английских правительственных учреждений, крупнейших корпораций и университетов.

Данные, найденные на управляющем сервере ботнета, который находится на территории Украины, свидетельствуют, что он функционирует с февраля 2009 года. Шестеро совладельцев ботнета, используя широкую сеть партнерских программ, сдавали его в аренду через подпольные онлайн-форумы, взимая в среднем 100 долларов за 1000 зомби-машин.

Программа удаленного администрирования, используемая злоумышленниками, автоматически загружается на компьютер жертвы троянцем-даунлоудером при посещении зараженных веб-сайтов. Она эксплуатирует уязвимости браузеров Internet Explorer и Firefox, а также формата pdf. По данным Finjan, в настоящее время ее детектируют только 4 из 39 современных антивирусных продуктов.

Приложение, управляющее инфицированными ПК, позволяет реализовать множество функций, в том числе загрузку и исполнение программ копирования файлов, регистрации нажатий клавиш, рассылки спама.

Как выяснилось, большая часть приобщенных к новому ботнету компьютеров оснащена ОС Windows XP. По оценке экспертов, 45% зараженных машин находится на территории США, 6% — в Великобритании, немногим меньше – в Канаде, Германии и Франции. Многие из них привязаны к 77 доменам в зоне .gov, а в Великобритании новоявленной инфекцией поражены более 500 корпоративных сетей.

Найденную информацию Finjan передала правоохранительным органам США и Великобритании, уведомив о заражениях заинтересованные ведомства и бизнес-структуры. В настоящее время командный сервер обнаруженного ботнета отключен.
ФБР и лондонская полиция разыскивают его владельцев, чтобы предотвратить перенос управляющих функций ботнета на другой веб-хостинг.