Группа экспертов по безопасности провела операцию по блокировке ботнета Kelihos

Эксперты по безопасности таких компаний, как «Лаборатория касперского», CrowdStrike, Dell SecureWorks и Honeynet Project совместно провели операцию по блокировке второй версии ботнета Kelihos, который оказался значительно больше того, который удалось уничтожить Microsoft в сентябре 2011 года.

Напомним, что в сентябре 2011 года компания Microsoft заявила об устранении ботсети Kelihos, с помощью которой злоумышленники воровали конфиденциальную информацию с зараженных компьютеров, а также рассылали почти 4 млрд. спам-сообщений в сутки.

В конце января 2012 года эксперты ЛК обнаружили новые экземпляры ботнета Kelihos, очень похожие на первоначальную версию. Отмечалось, что в обнаруженной версии ботнета использовались новые принципы связи с операторами ботнета, а также обновленные ключи шифрования.

Согласно опубликованной в блоге ЛК записи, группа экспертов решила начать новую операцию по блокировке ботнета.

Отключение такого ботнета с децентрализованной архитектурой, как Kelihos, является более сложной задачей, чем простой захват серверов управления, поскольку клиенты ботнета могут обмениваться инструкциями между собой.

Как сообщил исследователь компании CrowdStrike Тиллмен Вернер (Tillmann Werner), в целях предотвращения обновления ботнета его авторами через инфраструктуру P2P, компаниям требовалось установить поддельные клиенты ботнета по всему миру и заставить все инфицированные машины подключаться только к серверам, управляемыми ЛК.

После того, как большинство клиентов ботнета подключились к этим серверам, эксперты поняли, что вторая версия Kelihos значительно больше заблокированной в 2011 году. Оказалось, что в него входят 110 тыс. зараженных хостов, в то время как первая версия насчитывала всего 40 тыс. 25% новых ботов Kelihos были расположены в Польше, а 20% - в США.

Также отмечается, что на большинстве инфицированных Kelihos компьютеров, а это 90 тыс., была установлена ОС Windows XP, около 10 тыс. использовали Windows 7, а 5 тыс. - Windows 7 SP 1.

По словам Вернера, Microsoft не участвовала в операции блокировки ботнета, однако была проинформирована об этом. В операции, проведенной в 2011 году, задачей корпорации было деактивировать доменные имена, которые могли использовать авторы Kelihos, чтобы вернуть контроль над ботнетом.

Вернер отметил, что при проведении данной операции такой необходимости не было, поскольку этот резервный канал связи используется ботами Kelihos только в том случае, если нарушается основной пиринговый канал передачи данных, чего в этот раз не произошло.

Антивирус будет определять используемые Kelihos IP-адреса, таким образом интернет-провайдеры смогут связываться с абонентами, которым принадлежат зараженные машины.

По словам Вернера, согласно определенным признакам можно предположить, что авторы Kelihos прекратили использование ботнета после того, как была проведена операции по его блокировке. Однако он также отметил, что учитывая то, что это был уже их пятый по счету ботнет, скорее всего они создадут новый.