«Зевс» нашел тихую гавань

По наблюдениям ZeuS Tracker, ботоводы ZeuS начали мигрировать из российской национальной зоны .ru в зону .su.

Согласно статистике швейцарских экспертов, зона .ru на протяжении нескольких лет активно использовалась злоумышленниками для размещения центров управления этим зловредом. Однако в начале текущего года количество таких C&C площадок заметно уменьшилось. Сократилось также время жизни новых ru-доменов, приобщаемых к командной инфраструктуре ZeuS. Если раньше оно измерялось неделями и даже месяцами, то в настоящее время составляет от 4 до 24 часов.

Активисты полагают, что главной причиной такого успеха является обновление правил регистрации доменных имен в зонах .ru и .рф, которые были введены в силу в минувшем ноябре. В новой редакции пункт 5.7 разрешает регистратору прекратить делегирование домена по запросу некой компетентной организации, если она представила доказательства, что этот домен используется для фишинга, несанкционированного доступа к чужим ресурсам, распространения зловредов или для управления ботнетом. Список компетентных организаций Координационный центр домена .ru обещает публиковать на страницах своего сайта.

Как бы то ни было, ботоводы ZeuS начали искать tld-зону с более благоприятным климатом и остановились на полузабытой, но еще активной .su. В настоящее время число su-доменов в списках ZeuS Tracker растет, 2 из 4-х C&C долгожителей-рекордсменов тоже размещены в этой зоне. При отсутствии в логах легальных запросов, ассоциированных с этим доменным пространством, эксперты советуют просто блокировать его на шлюзе.

Согласно статистике ZeuS Tracker по состоянию на 1 февраля, число активных центров управления ZeuS в Сети приближается к 200. Больше половины из них находятся на территории США, вдвое меньше ― в России. Из регистраторов хуже всех ситуация у российских «Наунет СП» (94 домена, ассоциированных с ZeuS) и REG.RU (78), из AS-провайдеров ― у азербайджанской ADaNET (15 C&C серверов) и американской GNAXNET (12).