Компании Microsoft удалось обезвредить еще одну ботсеть

Компания Microsoft заявила об устранении ботсети Kelihos, с помощью которой злоумышленники воровали конфиденциальную информацию с зараженных компьютеров, а также рассылали почти 4 млрд. спам-сообщений в сутки.

Компании удалось вывести из строя Kelihos после получения «секретного» разрешения суда на блокировку 21 доменного имени, в том числе доменную зону cz.cc, пренадлежащую бесплатной службе регистрации доменов, основанной в Чешской Республике. Судебное решение было обнародовано после того, как командные серверы ботсети были отключены от Интернет. Эти действия позволили заблокировать удаленный доступ операторов Kelihos к 42 тысячам зараженных компьютеров.

Kelihos является третьей ботсетью, для устранения которой, Microsoft использует свои юридические и технические приемы. В марте компании удалось обезвредить Rustock, который осуществлял рассылку спама с 1,6 млн. зараженных компьютеров. Rustock был устранен после того, как Microsoft обнаружила домены и серверы, используемые для управления ботсетью.

Согласно данным Microsoft, вредоносный код, который лежал в основе Kelihos, был поразительно похож на код другой ботсети – Waledac. Некоторые исследователи подозревали, что Kelihos был попыткой возобновления Waledac.

«Устранение Kelihos предназначено для предупреждения основателей ботсетей, которые предположили, что им удастся обновить вредоносный код и восстановить ту ботсеть, которую мы уже устранили, - заявляет в блоге компании старший юрист отдела по борьбе с киберпреступностью Microsoft Ричард Домингес Бошкович (Richard Domingues Boscovich). Компания Microsoft устраняет ботсеть, и не позволит возобновить ее работу. Мы будем продолжать принимать меры для защиты наших пользователей и платформ, и заставим операторов ботсетей нести ответственность за свои действия».

В иске, поданном в окружной суд США в городе Александрия, штат Вирджиния, значатся 22 анонимных подсудимых, а также dotFREE SRO и Доминик Александр Пьятти (Dominique Alexander Piatti). Они соответственно представляют организации и частных владельцев сервиса cz.cc, который зарегистрировал более 3 700 поддоменов, заражавших новые компьютеры. Операторы Kelihos отправляли инструкции зараженным компьютерам, которые отправляли спам, содержащий рекламу незаконных фармацевтических препаратов, а также загружали адреса электронной почты, учетные данные и данные кошельков Bitcoin.

По словам Бошковича, принадлежащая Пьятти служба связана и с другой мошеннической деятельностью в сети Интернет, включая поддельное антивирусное обеспечение MacDefender, которое было нацелено на пользователей Mac OS X. Напомним. что в мае компания Google заблокировала 200 тысяч поддоменов cz.cc, сообщив, что на них содержались вредоносные программы.

Теперь, когда компания Microsoft получила доступ к доменам cz.cc, она работает с Пьятти, чтобы определить, какие из них используются законно, чтобы возобновить их работу.

Сам Пьятти заявляет, что он готов предоставить свою версию сложившейся ситуации, но для начала он должен нанять адвоката.