Галерея ботнетов, год 2009-й

Главный вирусолог компании SecureWorks Джо Стюарт (Joe Stewart) представил обзор современного состояния зомби-сетей, используемых спамерами, и оценил возможности их дальнейшего развития.

В минувшем году интернет-сообщество стало свидетелем падения нескольких крупнейших плацдармов для рассылки спама. Прекращение деятельности криминального веб-хостинга Atrivo в сентябре стало последней соломинкой, переломившей хребет «штормовому» колоссу, который почти два года доминировал среди своих конкурентов. В ноябре отключение от Сети другого криминального веб-хостинга, McColo, послужило прелюдией к уходу со сцены ботнета
Srizbi, который так и не сумел оправиться от этого удара. В конце года иссякли потоки спама, распространявшегося с ботнета Bobax, или Kraken, все командные серверы которого были заблокированы его единственным хостинг-провайдером 18-го декабря.

Спамеры постепенно откочевывали к конкурентам владельцев пострадавших ботнетов. Теперь, помимо известных игроков – таких как Pushdo, Rustock, Mega-D, насчитывающих по 120-175 тысяч зараженных машин, в рассылке спама участвует целая плеяда «темных лошадок» и новоявленных ботнетов, операторы которых используют благоприятную ситуацию для наращивания своих мощностей.

К числу крупнейших ботнетов Стюарт отнес Donbot, он же Bachsoy, в зомби-парк которого входит, по его оценкам, более 125000 ПК. Этот ботнет предположительно не монолитен и находится в руках множества арендаторов, распространяющих спам с рекламой средств для похудания и предложениями «выгодных» займов и ссуд, а также продвигающий мелкие акции по схеме «накачка-сброс».

Специализирующийся на рассылке фармаспама ботнет Xarvester, он же Rlsloup и RUcrzy, тоже вырос в размерах и насчитывает около 60 тысяч зомби-компьютеров. Его боты замечены также в рассылке рекламы поддельных дипломов, часов престижных марок и русскоязычного спама. По данным компании Marshal, в настоящее время он ответственен более чем за 13% нелегитимной корреспонденции в почтовом трафике, а modus operandi его ботов во многом напоминает сценарий Srizbi.

Размеры ботнетов Grum (Tedroo) и Gheg (Tofsee) несколько скромнее, — они насчитывают по 50000 единиц каждый. Первый специализируется на рекламе средств повышения потенции, которая в целях обхода спам-фильтров рассылается в формате информационного бюллетеня. Спамбот Gheg весьма неординарен и может рассылать спам не только с прокси-сервера, но и с почтовых серверов, привязанных к сетям интернет-провайдера.

Ботнеты Cimbot и
Waledac насчитывают по 10000 инфицированных ПК. Первый популярен у фармаспамеров. В отличие от прочих спамботов, деятельность которых маскируется под стандартные процессы Windows, основной компонент Cimbot работает только в системной памяти и потому трудноуловим.

Организация ботнета Waledac, по мнению экспертов, во многом напоминает инфраструктуру «штормового» ботнета. Однако его владельцы используют совершенно новую программу, а обмен между инфицированными компьютерами в р2р-сети защищен надежным 1024-битовым ключом RSA. Ожидается, что этот ботнет доставит еще много неприятностей интернет-сообществу.

По мнению Стюарта, совершенствование организации ботнетов, внедрение новаторских средств защиты и функционирования спамботов гарантируют жизнеспособность этих криминальных инструментов обогащения и позволяют их владельцам удерживать передовые позиции в нелегальном бизнесе.