Исследование

Наблюдая за ботами

Как мы отмечали вчера, ботнет Кидо установил на зараженные компьютеры другого известного червя — Iksmas aka Waledac.

Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.

Вариант, который был загружен Kido, детектировался Антивирусом Касперского проактивно, при помощи эвристических технологий, как HEUR:Worm.Win32.Generic. Точно так же, эвристически (HEUR:Worm.Win32.Generic) детектировался и сам новый вариант червя Kido (Net-Worm.Win32.Kido.js).

Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры.

За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама.

Весь спам, прошедший прошлой ночью через ботнет, представлял из себя рекламу фармацевтических препаратов. Вот несколько произвольно выбранных примеров писем:

Subject: A unique opportunity to live healthier life!
Hot News for You http://ie.hipraputt.com/

Subject: Add power to your man’s hammer
We supply porno studios since 1972. Try blue-pills and stay up with your girls! ^M
http://bv.relaxkind.com/

Subject: Hot life — our help here. Ensure your potence today!
Solution to low-sized perks http://bj.jilfawris.com/

Subject: Perfect solutions to have it hard as stone!
Your one and only online Chemist. http://zer.jilfawris.com/

Subject: She will dream of you days and nights!
Love her everywhere. http://lrmt.jilfawris.com/

Всего за 12 часов работы одного единственного бота он отправил 42’298 спам-писем.

Как вы можете заметить, в спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.

Нами было зафиксировано использование 40’542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки.

Вот пара скриншотов с данных сайтов:

Полный список доменов второго уровня, использованных в рассылке:

aromatangy.com
calmchic.com
crisppride.com
cykduhdao.com
deblanf.com
eslihos.net
fabjust.com
fadvyil.com
fadvyil.net
faynetr.com
goodcure.at
gooddoctoronline.at
gooddoctorscare.at
gooddoctorsite.at
gooddoctorworld.at
gooddruginfo.at
gooddrugonline.at
gooddrugsite.at
gooddrugworld.at
goodearthlawncare.at
gotbake.net
hereftu.net
hipraputt.com
jilfawris.com
kepiseu.com
kepiseu.net
multinew.com
plumppeak.com
relaxkind.com
uljyelsel.com
vapshei.net
yuleaware.com
zwefopcyn.com

Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных.

Простой математический подсчет показывает, что один бот Iksmas отправляет примерно 80’000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5’000’000, то получается, что за одни сутки этот ботнет мог разослать примерно 400’000’000’000 (400 миллиардов!) писем со спамом.

Наблюдая за ботами

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике