ФБР v. Coreflood: миссия выполнена

Очистив 19 тыс. американских ПК от ботов Coreflood, ФБР объявило о своем намерении отключить подставной командный сервер, так как считает, что угроза восстановления ботнета миновала.

Напомним, что очистка зараженных ресурсов в США была санкционирована федеральным судьей и является частью беспрецедентной операции по уничтожению ботнета силовыми методами. Крестовый поход против Coreflood возглавили министерство юстиции США и ФБР, которые стараются действовать в строгом соответствии с нормами федерального права.

По свидетельству ФБР, в результате объединения усилий правоохранительных органов, интернет-провайдеров, экспертов по сетевой безопасности и самих жертв популяция Coreflood в США сократилась [PDF 203 Кб] на 95%. Эксперты полагают, что успеху в большой мере способствовала грамотная организация оповещения об инфекции. Агенты ФБР напрямую связывались с владельцами зараженных машин и предоставили соответствующую информацию 25-ти ведущим интернет-провайдерам страны и зарубежным правоохранительным органам. К концу мая версии Coreflood (Backdoor.Win32.Afcore), выпущенные перед началом боевых действий, детектировали более двух десятков крупнейших представителей антивирусной индустрии.

В соответствии с судебным приказом альтернативный центр управления ботнетом, находясь под контролем ФБР, отослал 19 тыс. команд uninstall ботам, обосновавшимся на ресурсах 24-х американских организаций. Все жертвы дали письменное согласие на такое вмешательство, которое прошло без неприятных осложнений. Процедура авторизованной деинсталляции должна была завершиться на прошлой неделе.

С начала июня число заражений Coreflood в США практически стабилизировалось. По оценке ФБР, дальнейшая работа в этом направлении потребует применения других методов, таких, например, как тотальная деинсталляция. Прибегать к столь радикальным мерам правительство не намерено, тем более что нынешние размеры ботнета не внушают опасений. Необходимость в его постоянном контроле тоже отпала: ключевые домены захвачены властями еще в апреле, и соответствующий судебный приказ еще в силе, посему ботоводам вряд ли удастся вновь призвать под знамена остатки своей армии.