Закрытие крупного ботнета Bamital


Microsoft  SymantecКорпорация Microsoft совместно с компанией Symantec провели операцию по закрытию одного из крупнейших ботнетов под названием Bamital. Данный ботнет приносил группе операторов из 18 человек доход в размере более $1 млн. в год. Нынешний случай уникален тем, что впервые за всю историю закрытия ботнетов производители выпустили специальные инструменты, помогающие пострадавшим пользователям устранить проблему.

После закрытия ботнета зараженные компьютеры потеряли доступ к поисковым сервисам в Интернете. Это уже второй случай совместной работы Microsoft и Symantec по закрытию ботнета. Масштаб закрытого ботнета оказался поистине глобальным.

Принцип работы ботнета Bamital заключался в перенаправлении браузеров с ссылок, которые щелкали пользователи в выдаче поисковых сайтов Google, Bing и Yahoo. Вместо нужных веб-сайтов пользователи попадали на поддельные сайты, подконтрольные операторам ботнета.

Компания Symantec более года назад обратилась к Microsoft за помощью в закрытии ботнета. По данным Symantec, это был довольно средний по масштабам ботнет — от 300 до 600 тыс. зараженных ПК, поэтому его закрытие было сопряжено с большими трудностями.

За время наблюдения ботнет претерпел немало изменений. Целый год ушел на сбор надежных доказательств того, что конечным пользователям был нанесен значительный ущерб. Постоянное внесение изменений и оптимизация ботнета сильно затрудняли наблюдение и сбор улик.

В случае с Bamital выяснилось, что киберпреступники постоянно переносили свои сервера из одного места в другое.

Представители компаний Microsoft и Symantec подчеркивают, что это первый случай, когда удалось предупредить провайдеров и пользователей об опасности, а также создать инструменты для борьбы с ботнетом на местах. При попытке поиска с зараженных ПК пользователям выдавалась официальная страница с подробными и понятными инструкциями по удалению вируса, причем без ограничений по выбору конкретного антивируса. Похожую страницу создала национальная служба Нидерландов по борьбе с кибер-преступностью в 2010 при закрытии ботнета Bredolab. Однако в тот раз пользователям не предлагались инструменты для уничтожения вируса.

Кроме помощи по удалению вирусов, компания Microsoft еще указала на веб-странице псевдонимы, адреса эл. почты, почтовые адреса и телефонные номера всех подозреваемых в создании и использовании ботнета. Хотя все 18 операторов ботнета Bamital на момент закрытия находились в разных странах мира, представители отдела Microsoft по борьбе с электронными преступлениями (Digital Crimes Unit) рассказали, что ботнет имеет российские корни, на что указывает некая фраза на русском языке в одной из меток cookie, используемую ботнетом.


Обновлено (07.02.2013 18:16)