Возрождение ботнета ZeroAccess


0-day yazvimostИсследователями из Dell Secure Works было установлено, что известный ботнет ZeroAccess вновь возобновил свою вредоносную деятельность. Напомним, что операция по его устранению предпринималась в декабре 2013 года правоохранительными органами. Теперь ZeroAccess сново осуществляет похищение кликов с помощью сети скомпрометированных компьютеров.

Также стоит отметить, что ZeroAccess еще известен как Sirefef. С его помощью в 2012 году злоумышленникам удавалось зарабатывать более $100 тысяч в день.

Отдел по противодействию киберугрозам (Counter Threat Unit, CTU) SecureWorks наблюдал за деятельностью ботнета с 21 марта по 2 июля 2014 года. По данным специалистов, возрождение ZeroAccess произошло примерно в январе. Сейчас этот вредонос начал распространять темплейты похищения кликов между скомпрометированными компьютерами.

В CTU обращают внимание на то, что киберпреступники не расширяют ботнет и не инфицируют новые компьютеры после его отключения в декабре 2013 года. В настоящее время ZeroAccess состоит лишь из "выживших" инфицированных систем. А поэтому размер ботнета значительно уменьшился по сравнению с его предыдущим воплощением.

ZeroAccess разбит на два ботнета, использующих разные UDP-порты:

  • 16464/16471 - для скомпрометированных систем под управлением 32-битных версий Windows;
  • 16465/16470 - для 64-битных.


Также по данным SecureWorks, с 17 по 25 января 2015 года было обнаружено 55208 уникальных IP-адресов, которые участвуют в деятельности ботнета. Из них 38094 использовали 32-битную версию ботнета, а еще 17114 - 64-битную.


Обновлено (30.01.2015 02:36)