Зомби в три хода

Среди продвинутых пользователей Интернета сейчас мало кто полагает, что зомби появляются исключительно вследствие колдовства служителей культа вуду. Хотя достоверно известно — зомби-компьютеры, которые злоумышленники используют для рассылки спама и осуществления DDoS-атак, тоже не возникают сами по себе. Ради создания и расширения ботнетов «колдуют» вирусописатели, стимулируемые грядущими барышами.

Ботнеты — выгодный товар, их нынче продают или сдают в аренду по сходной цене. Существуют черные рынки для инфицированных компьютеров. Стоимость одного зараженного компьютера на таких рынках составляет около 5 центов. Соответственно, чем больше зомби-машин, тем больше денег может получить их создатель.

Так что вирусописателям есть, к чему стремиться. Увы! Труд злоумышленников не безуспешен. Тому свидетельство, в частности, создание трех вредоносных кодов, которые не так давно продемонстрировали образчик хорошо отлаженного взаимодействия.

Трехступенчатую атаку троянов Glieder, Fantibag и Mitglieder эксперты назвали «беспрецедентной». Такую оценку действия опасной троицы заслужили благодаря способу, которым трояны взаимодействовали друг с другом, чтобы инфицировать машину, дезактивировать антивирусное ПО и оставить «черный ход» открытым для загрузки следующего вредоносного кода.

Атаку начинал Win32.Glieder.AK, — троян, который загружал исполняемые файлы, выходя на сайты по заданному списку URL.

Задача Glieder — проскочить антивирусную защиту до того, как будут созданы сигнатуры, и подготовить машину к последующему использованию. В течение одного дня в Сети было обнаружено как минимум восемь вариантов Glieder.

На машинах с операционной системой Windows XP Glieder.AK пытался дезактивировать брандмауэр Windows и центр обеспечения безопасности — новшества, привнесенные Windows XP Service Pack 2.

Далее троян быстро загружал Win32.Fantibag.A, и начинался второй этап атаки.

После того, как Fantibag инфицировал машину, злоумышленники могли быть уверены в том, что антивирусное ПО и другие средства защиты компьютера отключены. Fantibag блокировал доступ инфицированной машины к сайтам антивирусных вендоров и даже к Microsoft’s Windows Update, так что жертва оставалась беспомощной.

После отключения средств защиты третий троян, Win32.Mitglieder.CT, предоставлял инфицированную машину в полное распоряжение злоумышленников.

Таким образом, после инсталляции трех троянов компьютер становился частью ботнета и мог использоваться для рассылки спама, осуществления DDoS-атак или для кражи персональных данных пользователя.

По словам Роджера Томпсона (Roger Thompson), руководящего в компании Computer Associates International исследованиями вредоносных кодов, это блестящее решение, которое просто пугает. Если трояны и далее будут блокировать аналогичным образом типичные системы антивирусной защиты, основанные на сигнатурах, с этими системами защиты придется распрощаться.

Томпсон не сомневается, что атака с использованием вредоносных кодов семейства Bagle является результатом деятельности очень маленькой хорошо организованной преступной группы. Специалисты по безопасности компании PivX Solutions LLC считают, что ботнетами, как правило, управляют небольшие группы хакеров. По данным PivX Solutions LLC, 95% ботнетов контролируют не более 200 человек.