Касперский зачистил ботнет c помощью самого ботнета
"Лаборатория Касперского" помогла отделу по борьбе с высокотехнологичными преступлениями полиции Нидерландов нейтрализовать ботнет Shadow, состоявший из более 100000 зараженных машин.
Арест 19-летнего создателя ботнета, проведенный голландцами вместе с ФБР, произошел еще 29 июля. Справедливости ради стоит отметить, что ботнет Shadow, заражающий пользователей через Windows Live Messenger и MSN Messenger, был не очень продвинутым. Поскольку ботнетом управляли через IRC, отследить его командный центр было легче, чем в случае других современных ботнетов, которыми управляют через Web.
Необычным же этот случай стал после того, как бот-мастера арестовали. Получив контроль над ботнетом, голландская полиция не стала сразу вырубать его - а обратилась в "Лабораторию Касперского" с просьбой помочь пользователям зараженных компьютеров. Для этого зараженных пользователей отправили на сайт www.kaspersky.com/shadowbot , где содержатся инструкции по лечению компьютера.
Правда, метод связи с пользователями не совсем понятен. В некоторых источниках говорится, что полиция связалась с жертвами и направила их на сайт. Между тем, ArcTechnica сообщает, что для отправки инструкций по лечению использовался сам ботнет Shadow (что было бы логично).
Трояны, которые применяются для построения ботнета Shadow, зафиксированы в базах "Антивируса Касперского" еще с января. Однако Эдди Виллемс, ведущий эксперт "Лаборатории Касперского" в странах Бенилюкса, предупреждает, что вредоносная программа могла загрузить на зараженный компьютер дополнительное вредоносное ПО - поэтому пользователи должны дополнительно произвести полную проверку машины, используя антивирус с актуальными антивирусными базами.
На сегодня это видимо первый крупный случай, когда вредоносная сеть, построенная злоумышленниками, используется против них самих. Интересно, что в феврале этого года на конференции i-Safety 2008 главред "Вебпланеты" интересовался у представителей "Лаборатории", как они относятся к идее "ответить ботнетом на ботнет". Тогда Андрей Ярных ответил, что пока таких планов нет - ЛК может лишь предупреждать и лечить конечных пользователей "на их стороне".
Однако и данный пример, и появление Kaspersky Security Network в новой версии продуктов компании показывают, что ЛК все-таки движется в сторону использования сетевых методов против сетевых же угроз.
system
19.08.2008
|
