Крупнейший ботнет Grum возвращается к жизни

Исследователи Trustwave Spider Labs сообщили , что создатели одного из крупнейших ботнетов в мире под названием Grum, обезвреженного в прошлом году, решили воссоздать его снова. Эксперты заявили, что обнаружили несколько образцов Grum и пять новых C&C-серверов, с которыми связан ботнет: 188.93.233.2, 185.4.227.170, 198.144.156.187, 80.86.253.3 и 84.22.104.163.

Исследователи обнаружили набор команд, выполняемых при связи ботнета с серверами:

1. GET /spm/s_get_host.php?ver=[bot version]

s_get_host.php – получение IP-адреса зараженного компьютера и его hostname.

2. GET /spm/s_alive.php?id=[bot machineid]&tick=[system tick]&ver=[bot version]&smtp=[ok|bad]

s_alive.php – сообщение серверу данных о боте (ID, версия, состояние SMTP-протокола)

3. GET /spm/s_task.php?id=[bot machine id]&tid=xxxxx

s_task.php – получение задачи и образца спама.

4. GET /spm/s_report.php?task=[task id]&id=[bot machine id]&errors[xxx]=xx

s_report.php – сообщение C&C-серверу информации об ошибках.

По словам экспертов, тема рассылаемых ботнетом спам-сообщений – фармацевтика. Сообщения содержат ссылки, которые приводят пользователей на сайты, продающие нелегальные лекарственные препараты. Исследователи опубликовали список русских доменов, связанных с спам-кампанией.

Напомним, что ботнет Grum являлся третьим по величине в мире. Так, 30% всего спама рассылала именно эта ботсеть, ликвидированная в июле 2012 года.