Microsoft и Symantec провели совместную операцию по обнаружению, локализации и уничтожению одной из крупнейших за всю историю бот-сетей — Bamital, сообщает Reuters. Эксперты Symantec рассказали, что обнаружили эту бот-сеть еще в 2009 г., но только недавно, скооперировавшись с Microsoft, им удалось полностью ее ликвидировать. По оценкам специалистов, отключенный сервер контролировал от 300 тыс. до 1 млн. компьютеров во всем мире и приносил злоумышленникам не менее 1 млн. долл. в год.
В сообщении Microsoft говорится, что контрольные серверы Bamitel и некоторые данные операторов этой бот-сети находились в американских дата-центрах в штатах Нью-Джерси и Виргиния. Сейчас работа серверов блокирована, а против организаторов бот-сети подан судебный иск в федеральный суд штата Виргиния. Главный юрисконсульт Microsoft Ричард Боскович говорит, что операторы Bamitel набирали в бот-сеть компьютеры, заражая их различными способами. Кроме того, он сообщил, что как Microsoft, так и Symantec уже выпустили бесплатное программное обеспечение для удаления троянцев, включавших компьютер-жертву в сеть Bamitel.
Принцип работы ботнета Bamital заключался в перенаправлении браузеров со ссылок, которые пользователи кликали в выдаче поисковых сайтов Google, Bing и Yahoo. Вместо требуемых веб-сайтов пользователи попадали на поддельные, подконтрольные операторам ботнета, которые подменяли ссылки в выдаче.
Представители Microsoft и Symantec подчеркивают, что это первый случай, когда удалось не только предупредить провайдеров и пользователей об опасности, но и создать инструменты для борьбы с ботнетом на местах. При попытке поиска с зараженных ПК пользователям выдавалась официальная страница, где можно было найти подробные инструкции по удалению вируса, причем без ограничений по выбору конкретного антивируса. Похожую страницу создала национальная служба Нидерландов по борьбе с кибер-преступностью в 2010 г. при закрытии ботнета Bredolab, но в тот раз пользователям не предлагались инструменты для уничтожения вируса.
Кроме прямой помощи по удалению вирусов Microsoft сделала еще один нестандартный ход, указав на веб-странице псевдонимы, адреса электронной почты, почтовые адреса и телефонные номера всех подозреваемых в создании и использовании ботнета Batmail. Хотя все 18 операторов ботнета Bamital на момент закрытия находились в разных странах мира, представители отдела Microsoft по борьбе с электронными преступлениями считают, что ботнет имеет российские корни, на что указывает некая фраза на русском языке в одной из меток cookie, которую использовал ботнет.