Борьба с ботнетом Virut


SpamhausКомпанией Spamhaus - компанией занимающейся борьбой со спамом, на прошлой неделе было деактивировано множество доменов, с которых происходило заражение компьютеров вредоносным ПО Virut.

Virut - вредоносное ПО, распространяющееся путем инфицирования исполняемых файлов и копирования себя на диски, доступные зараженному компьютеру. Некоторые варианты данного вредоноса к тому же еще инфицируют HTML, ASP и PHP-файлы с целью самораспространения.

После установки Virut использует зашифрованные IRC-каналы для обмена данными с командным центром, что позволяет вирусописателям контролировать ботнет.

По данным, полученным Symantec в ходе исследования, размер ботнета Virut достигал 300 тыс. зараженных компьютеров.

Ранее Virut использовался для распространения ZeuS и спамбота Kehlios. Теперь же, согласно исследованиям Symantec, Virut используется для распространения Waledac, что в свою очередь может привести к возрождению ботнета Waledac, ликвидированного в 2010 году экспертами компании Microsoft.

Исследователь из Spamhaus Томас Моррисон (Thomas Morrison) сообщил, что разработчики Virut используют несколько десятков доменов, среди которых домены в зонах

  • .pl (Польша);
  • .ru (Россия);
  • .at (Австрия);

как часть своей C&C- инфраструктуры.

Блокирование трафика, генерируемого ботнетом Virut, было оперативно устранено совместной командой специалистов из Spamhaus, компании CERT (Polish Computer Emergency Response Team) и регистратором домена .pl.

Несколько доменов .pl, в том числе zief.pl и ircgalaxy.pl, использовались для размещения C&C-серверов Virut и другого вредоносного ПО (например, Palevo и ZeuS).

17 января 2013 года национальным польским регистратором было закрыто более 23 подобных доменов с целью защиты пользователей от угрозы, исходящей от Virut. Cерверы имен для этих доменов были изменены на sinkhole.cert.pl.

Кроме того, компанией Spamhaus в сотрудничестве с российской компанией Group-IB, занимающейся компьютерной безопасностью, были закрыты домены в зоне .ru.

Несмотря на то, что проделаны такие работы по уничтожению данного ботнета, часть C&C-инфраструктуры Virut  все еще контролируется злоумышленниками. Например, домены в зоне .at все еще находится под контролем преступников.


Обновлено (23.01.2013 17:29)