Ботнет ZeuS теряет силу

image

Теги: ZeuS, ботнет, провайдер

Швейцарский эксперт по безопасности Роман Хюссе, наблюдающий за активностью ZeuS-ботнетов при помощи системы слежения ZeuS Tracker, отмечает резкое уменьшение количества контролирующих центров этих сетей.

Швейцарский эксперт по безопасности Роман Хюссе, наблюдающий за активностью ZeuS-ботнетов при помощи системы слежения ZeuS Tracker, отмечает резкое уменьшение количества контролирующих центров этих сетей. Этот феномен Хюссе связывает с отключением провайдера Troyak-as.

9 марта количество активных контролирующих центров ZeuS-ботнетов упало с 249 до 181, а 11 числа их и вовсе осталось лишь 104. Соответственно снизилась и активность ботнетов.

Проанализировав "выпавшие" из учета ботнеты, Хюссе пришёл к выводу, что все их контролирующие центры хостились у нескольких провайдеров, которые выходили в Сеть через автономную систему TROYAK-AS Starchenko Roman Fedorovich (AS50215). Эти "надежные" провайдеры отличались тем, что их нельзя убедить отключить недобросовестных клиентов.

По состоянию на 9 марта Хюссе привел список из шести низлежащих автономных сетей, три из которых, судя по IP-адресам, находятся в Молдове, две в России и еще одна — на Украине. В каждой из них находилось от 5 до 18 контролирующих центров.

Как отмечалось выше, 11 марта перестали проявлять активность более 140 ZeuS-ботнетов. По словам Хюссе, обычно одна ZeuS-сеть состоит из 20-50 тысяч ботов. Но даже если исходить из 10 тысяч, легко подсчитать, что речь идет о полутора миллионах зараженных компьютеров, которые перестали получать команды от своих контролирующих центров.

За эти два дня Troyak успел появиться в Сети, подключившись к новому провайдеру, снова выпасть и опять появится. Доступ ему сейчас предоставляет ОАО "РТКомм.РУ", дочерняя компания  "Ростелекома".

Хюсси считает, что пастухам пострадавших ботнетов уже не удастся восстановить контроль над ними. По его мнению, имея "надежных" провайдеров, они вряд ли задумывались над необходимостью держать резервные серверы.

С другой стороны, по мнению независимого ИБ-эксперта Данчо Данчева, радоваться в нынешней ситуации особо нечему. Поднять новый ZeuS-ботнет в экономическом плане куда проще, чем восстановить контроль над старым, говорит Данчев, так что отключение провайдера не может нанести серьезный удар по самой бизнес-модели преступников.

Однако, стоит учесть еще один аспект. ZeuS-ботнеты обычно пополняются за счет спам-рассылок с вредоносными ссылками. По данным Энди Фрида  из компании Deteque, спам, имеющий отношение к ZeuS, неожиданно прекратился 27 февраля и до сих пор не возобновлялся. И причины этого пока неизвестны.


или введите имя

CAPTCHA
Серый волк
12-03-2010 12:46:06
щас админ после праздников проспитца и все снова заработает
0 |
имя
12-03-2010 12:47:22
Особенно смешно смотреть, как в Линуксе из браузера выскакивает окошко в стиле Винды по имени "Мой компьютер" со сканированием и обнаружением кучи вирусов в папке "c:\windows\system32" и предложением комп "вылечить" со ссылкой на доктора.
0 |
Twin
12-03-2010 13:55:02
Точно, после этого мои пользователи начали думать что винда сама по себе вирус и залезает даже на линукс
0 |
jaba
12-03-2010 15:59:26
Какие у тебя тупые пользователи.
0 |
123456
12-03-2010 14:12:24
Сочувствую тебе, даже на Линухе ты умудрился запустить Виндовый вирус.
0 |
80308
12-03-2010 16:24:52
Запустить зверька не удалось под wine.
0 |
Добрый юзер
14-03-2010 05:56:45
Когда увидел сее творение, поспешно отключил браузер и внёс сайт в черный список файервола. Представляю, сколько неопытных пользователей попадется на эту удочку. Каптча тоже разочарована 79142
0 |
13-03-2010 17:33:15
Ваш копипаст неполный. После подключения Troyak через РТКомм многие потерянные ботнеты вернулись к своим "хозяевам". По последним данным статистики, количество активных серверов с командными центрами выросло до 194. Владелец Troyak Роман Старченко пояснил журналистам The Register, что причиной всех этих пертурбаций финансовая — по рассеянности он забыл вовремя оплатить услуги своему провайдеру.
0 |
тупее дров
13-03-2010 18:04:04
Им тупо название "Troyak" не понравилось. На Troyan похоже. Ну и зачетный оригинальный "Главный Контролирующий Центр" на картинке. Оно из цирка что ли хостится или детского сада?
0 |