По данным Secureworks, один из компонентов «штормовых» троянцев, поразивших в январе Интернет, использовался для проведения DDoS-атак на веб-сайты борцов против спама и сайты спамеров-конкурентов.
Проведенное старшим научным сотрудником SecureWorks Джо Стюартом (Joe Stewart) исследование анатомии «штормового червя» позволило выявить интересные подробности. «Штормовой червь», он же W32/Small.DAM или Trojan.Peacomm, принадлежащий к тому же семейству вредоносных программ, что и более ранний вариант Win32/Nuwar, связан с другими зараженными машинами через Р2Р-протокол. Через Р2Р-каналы он получает URL, инициирующий второй компонент троянца, который, в свою очередь, загружает в инфицированную систему последующие компоненты, предназначенные для хищения адресов электронной почты, дальнейшего распространения вируса, проведения DDoS-атак и загрузки обновленной копии «штормового червя».
Ответственный за проведение DDoS-атак компонент game4.exe загружает в инфицированную систему конфигурационный файл с жестко запрограммированным целевым IP-адресом и информацией о характере атаки. Среди IP-адресов, зафиксированных Secureworks, были веб-сайты антиспамеров stockpatrol.com и spamnation.info, несколько веб-сайтов конкурирующих спамерских группировок, использующих червя-спамера Warezov, и веб-сайт интернет-сервиса, специализирующегося на переводе денежных средств, — capitalcollect.com. По мнению Стюарта, персональный сайт которого тоже был атакован, проводившие «штормовую» атаку спамеры стремились уязвить всех, кто мешает их бизнесу.
После DDoS-атаки на spamnation.info, инициированной 12 января, этот веб-сайт борцов с «биржевым» спамом удалось восстановить только через неделю. В конце января последовала серия атак на веб-сайты, распространяющие Warezov, владельцы которых ответили по-спамерски – изменили DNS-записи и перенаправили DDoS-атаки конкурентов на spamhaus.org. По данным Secureworks, в этих DDoS-атаках участвовало не менее трех ботнетов, никак не связанных между собой.
Для специалистов по сетевой безопасности криминальные разборки в Интернете не новость, конкурентная борьба в мире киберпреступности особенно сильно выражена в среде кардеров и «специалистов» по биржевым махинациям с акциями мелких компаний (схема «накачка-сброс»). Проблема в том, что «пешками» в этих междоусобицах являются, как правило, компьютеры безвинных пользователей, за контроль над которыми состязаются игроки теневого интернет-бизнеса, а под перекрестный огонь DDoS- и вирусных атак попадают и вовсе случайные сетевые объекты.
Повышение эффективности средств антиспам-защиты вынуждает спамеров совершенствовать криминальную технологию и сокращать объемы нелегитимных рассылок. По экспертному мнению, в ближайшем будущем тенденция к использованию киберкриминальными группировками высвобождающихся ресурсов ботнетов в DDoS-атаках против своих конкурентов и противников сохранится.
Источник: www.secureworks.com
Войны спамеров