Полицейский интернационал борется с ботнетами

Министерство юстиции США и ФБР объявили об успешном проведении полицейских рейдов в Боснии и Герцеговине, Македонии, Новой Зеландии, Перу, Великобритании и США. Международная операция по выявлению ОПГ, распространяющих многочисленные варианты IM-червя Yahos и владеющих многомиллионным ботнетом, проводилась при активной поддержке местных силовиков и закончилась 10 арестами.

Детали, представленные в пресс-релизе ФБР, скудны и туманны. Известно лишь, что речь идет об 11 млн. заражений и $850-миллионном ущербе. Федеральные агенты также отмечают, что большую помощь в выявлении распространителей Yahos им оказала служба безопасности Facebook. Дело в том, что пару лет назад этот червь, наделенный функционалом IRC бота, обрел дополнительные возможности, открывшие ему врата в социальную сеть. Экспертам Facebook удалось идентифицировать аккаунты, с которых осуществляется распространение зловредных ссылок, определить масштабы распространения, ― к слову сказать, весьма скромные ― и первоисточники.

В официальном сообщении Facebook фигурирует еще один IM-червь, попавший на радары ее службы безопасности, ― Slenfbot, однако ФБР его не упоминает. По словам экспертов, оба ботнета, построенные на базе IM-червей, обезврежены, пользователям социальной сети рекомендуется произвести проверку своих ПК на предмет заражений на специализированном ресурсе http://on.fb.me/infectedMSE. Facebook также предлагает бесплатные антивирусы для проведения очистки.

Тем не менее, в пресс-релизе ФБР речь все-таки идет о 2-х, и разных, ботнетах, как справедливо подметили эксперты FireEye. Один из них, видимо, составляют варианты Yahos, другой поименован как Butterfly («бабочка»). Судя по названию, эта бот-сеть создана с помощью одноименного тулкита. Зловред, лежащий в его основе, известен также как Bfbot, Rimecud и Palevo. Этот р2р-червь приобрел всемирную известность после низвержения многомиллионного ботнета Mariposa (исп. «бабочка»), созданного с помощью того же тулкита. Palevo способен загружать из интернета другие вредоносные программы, в том числе кейлоггеры и банковских троянцев, отсюда, видимо, и огромная сумма ущерба, упомянутого ФБР.

Поскольку при наличии готового инструментария построить ботнет злоумышленникам не составляет труда, коллекция быстро растущих бот-сетей с экзотическими именами время от времени пополняется новыми экземплярами. Год назад появилась публикация о Palevo-ботнете с говорящим названием Metulji (словенск. «бабочка»), по размерам превосходящем Mariposa. Тогда же были задержаны два жителя сербской Боснии, предполагаемые создатели и операторы этой гигантской бот-сети. По данным Palevo Tracker, в настоящее время в интернете числится 44 активных C&C сервера Palevo. Автор тулкита Butterfly, похоже, найден, но последнее слово остается за словенским судом.