В рамках операции, которая длилась примерно на протяжении года, эксперты Microsoft смогли заблокировать ботнет, созданный из компьютеров, зараженных вирусом Nitol. Этот вирус был обнаружен специалистами в предустановленном виде на нескольких новых компьютерах с контрафактной ОС Windows, продаваемых в некоторых розничных сетях на территории Китая, сообщает в своём блоге Microsoft.
В рамках операции под кодовым названием “b70”, которая стартовала в августе 2011 г. действующий ботнет Nitol был отключен. В начале операции эксперты Microsoft посетили несколько китайских городов, в ходе чего приобрели двадцать новых ПК, включая около десяти ноутбуков с Windows XP SP1 и SP3. На трёх из них исследователи обнаружили различное вредоносное ПО: Trafog, Malat и Nitol. Особый интерес сотрудников Microsoft привлёк последний вирус, так как он единственный среди всех вел активную деятельность и пытался соединиться с командным сервером. Кроме того, было обнаружено, что злоумышленникам удалось заразить вредоносным ПО компьютеры ещё на стадии их производства, воспользовавшись “незащищенностью цепочек поставок”.
Nitol предназначен для проведения DDoS-атак и обладает способностью к самостоятельному копированию на все подключаемые к компьютеру внешние носители. Согласно собственной информации Microsoft, вирус относится к категории бэкдоров — программ, которые позволяют злоумышленнику устанавливать на компьютере жертвы взломщик с целью последующего доступа к системе с полными правами.
Помимо этого, он предоставляет злоумышленнику возможность дистанционно включать веб-камеру и микрофон на компьютере жертвы и фиксировать нажатие каждой клавиши (функция кейлоггера). По словам Ричарда Босковича, помощника главы подразделения Microsoft digital crimes, средствами Nitol злоумышленники могли получать доступ к банковским онлайн-счетам жертвы.
В процессе расследования было установлено, что для того, чтобы получить адрес командного сервера в большинстве случаев Nitol обращается к домену 3322.org. Совместными усилиями специалистам Microsoft и другой американской компании — Nominum — удалось отфильтровать трафик бэкдора, заблокировав все запросы вредоносного ПО к указанному домену.
Впоследствии Nominum выступила в качестве истца, подав просьбу о блокировании трафика в окружной суд в штате Виржиния. Получив на это разрешение, технические эксперты создали новый DNS-сервер, при помощи которого им удалось обезопасить пользовательский трафик.
Microsoft сообщает, что за последние полгода они приняли участие в отключении уже второго крупнейшего ботнета. В конце весны специалисты софтверной корпорации вместе с коллегами из других компаний провели успешный рейд против сети компьютеров-зомби, созданной семейством вредоносных программ Zeus.
В ходе операции, получившей кодовое название “b71”, представители Microsoft в сопровождении американских судебных приставов посетили два дата-центра, расположенных в Пенсильвании и Иллинойсе и заблокировали командные пункты, контролировавшие распространение Zeus. Кроме того, Microsoft получила контроль над 800 доменами, использовавшимися для управления зараженными компьютерами. Софтверным производителем были выдвинуты судебные иски против лиц, подозревающихся к организации ботнетов Zeus.
Троян Zeus, проникнув на компьютер, следил за действиями пользователя и отсылал перехваченные пароли от банковских аккаунтов злоумышленникам. Особая опасность Zeus состояла в том, что его “сборки” свободно продавались на черном рынке киберкриминальных сообществ. В зависимости от версии и функций, “дистрибутив” Zeus мог стоить от 700 до 15 000 долл. и позволял любому злоумышленнику организовать свой собственный ботнет, воруя деньги с чужих электронных счетов. По подсчётам специалистов, на момент ликвидации Zeus ему удалось инфицировать около 13 млн. ПК, причём 3 млн. из них были расположены в США.