Uniq Themes.ru шаблоны Joomla, темы WordPress

Знаменитый «русский ботнет» возродился и был еще раз убит

Сотрудники «Лаборатории Касперского» сообщили об обезвреживании ботнета Hlux, который известен также как Kelihos. В результате операции, в которой принимали участие компании Honeynet, Crowd Strike и Dell SecureWorks, была закрыта сеть, в которую входили 109 тысяч инфицированных компьютеров.

Ликвидированная сеть – это уже второе возрождение ботнета Hlux, которая возникла после того как Microsoft совместно с «Лабораторией Касперского» смогла закрыть первую в октябре прошлого года.

Hlux (Kelihos) – одна из интереснейших сетей. Ее первая модификация обратила на себя внимание своей невероятной эффективностью. При помощи 40 тысяч инфицированных персональных компьютеров, Hlux отсылала порядка 4 миллиардов писем в сутки, что сравнимо с активностью крупного ботнета Rustock.

При стоимости спама от 250 до 500 долларов за миллион сообщений, ориентировочная выручка обладателей Kelihos теоретически могла равняться 2 миллионам долларов в день. При этом размер недавно закрытой второй версии сети оказался почти в три раза больше предшественника.

В начале текущего года Kelihos вновь попала в поле зрения специалистов, когда компания Microsoft в своем блоге сообщила о том, что подала иск в суд Восточного округа штата Вирджиния против операторов и создателей ботнета.

Среди подозреваемых был Андрей Сабельников, работник компании Teknavo, которая занимается разработкой банковского ПО. До этого он работал в нескольких организациях в сфере информационной безопасности.

Сабельников, которой в то время находился в США, сразу вернулся в Россию и через свой блог опубликовал опровержение причастности к деятельности Kelihos.

Стоит подчеркнуть, что специалисты «Лаборатории Касперского», которые и занимались технической стороной обнаружения и закрытия Kelihos, никогда не сообщали о причастности Андрея Сабельникова к созданию или управлению данной сети.

Александр Гостев, эксперт «Лаборатории Касперского», отметил, что очередная версия ботнета получала команды с серверов, расположенных в общеевропейской зоне .eu, которая совсем недавно стала пользоваться популярностью среди вредоносных сайтов. Напомним, что старая версия управлялась с серверов, расположенных в зоне cz.cc (кокосовые острова).

Миграция вредоносных ресурсов в зону .eu началась, когда компании Microsoft удалось заблокировать «хакерскую» cz.cc. Переход бот-серверов, по мнению Гостева, обусловлен, тем, что закрыть домен в зоне .eu несколько сложнее, чем в других распространенных доменах, например, в .com.

Рассматривая техническую сторону восстановленного ботнета, эксперт обратил внимание на значительные недостатки в его архитектуре. Авторы совершили те же ошибки, что и в первый раз. Все указывает на то, что они не могут правильно переписать исходный код и просто внесли незначительные изменения в первую модификацию Hlux.

 

Если вам нужна интересная хорошо оплачиваемая работа в Уфе, то обратите внимание на базу вакансий портала Irr.ru. Соискателям доступно более 4000 предложений работадателей, помимо этого вы сможете совершенно бесплатно разместить своё резюме о поиске работы.

 

[Вернуться Назад]