✔Касперский зачистил ботнет c помощью самого ботнета - «Интернет»

20 августа 2008 816 Новости / Новости мира Интернет 0

Арест 19-летнего создателя ботнета, проведенный голландцами вместе с ФБР, произошел еще 29 июля. Справедливости ради стоит отметить, что ботнет Shadow, заражающий пользователей через Windows Live Messenger и MSN Messenger, был не очень продвинутым. Поскольку ботнетом управляли через IRC, отследить его командный центр было легче, чем в случае других современных ботнетов, которыми управляют через Web.

Необычным же этот случай стал после того, как бот-мастера арестовали. Получив контроль над ботнетом, голландская полиция не стала сразу вырубать его - а обратилась в "Лабораторию Касперского" с просьбой помочь пользователям зараженных компьютеров.

Представители ЛК рассказали "Вебпланете", что схема предупреждения пользователей была следующей. Сначала "Лаборатория" передала голландской полиции инструкции по ручному удалению программы бота, дальше полиция разослала через средства ботнета утилиту, автоматически открывающую их собственную страницу (www.nationale-recherche.nl/), где которой говорилось о том, что данный компьютер заражён и входит в ботнет. На этой странице также находилась ссылка на сайт Касперского с инструкциями по лечению компьютера (www.kaspersky.com/shadowbot).

Трояны, которые применяются для построения ботнета Shadow, зафиксированы в базах "Антивируса Касперского" еще с января. Однако Эдди Виллемс, ведущий эксперт "Лаборатории Касперского" в странах Бенилюкса, предупреждает, что вредоносная программа могла загрузить на зараженный компьютер дополнительное вредоносное ПО - поэтому пользователи должны дополнительно произвести полную проверку машины, используя антивирус с актуальными антивирусными базами.

На сегодня это видимо первый крупный случай, когда вредоносная сеть, построенная злоумышленниками, используется против них самих. Интересно, что в феврале этого года на конференции i-Safety 2008 главред "Вебпланеты" интересовался у представителей "Лаборатории", как они относятся к идее "ответить ботнетом на ботнет". Тогда Андрей Ярных ответил, что пока таких планов нет - ЛК может лишь предупреждать и лечить конечных пользователей "на их стороне".

Однако и данный пример, и появление Kaspersky Security Network в новой версии продуктов компании показывают, что ЛК все-таки движется в сторону использования сетевых методов против сетевых же угроз.

"Лаборатория Касперского" помогла отделу по борьбе с высокотехнологичными преступлениями полиции Нидерландов нейтрализовать ботнет Shadow, состоявший из более 100000 зараженных машин. Арест 19-летнего создателя ботнета, проведенный голландцами вместе с ФБР, произошел еще 29 июля. Справедливости ради стоит отметить, что ботнет Shadow, заражающий пользователей через Windows Live Messenger и MSN Messenger, был не очень продвинутым. Поскольку ботнетом управляли через IRC, отследить его командный центр было легче, чем в случае других современных ботнетов, которыми управляют через Web. Необычным же этот случай стал после того, как бот-мастера арестовали. Получив контроль над ботнетом, голландская полиция не стала сразу вырубать его - а обратилась в "Лабораторию Касперского" с просьбой помочь пользователям зараженных компьютеров. Представители ЛК рассказали "Вебпланете", что схема предупреждения пользователей была следующей. Сначала "Лаборатория" передала голландской полиции инструкции по ручному удалению программы бота, дальше полиция разослала через средства ботнета утилиту, автоматически открывающую их собственную страницу (www.nationale-recherche.nl/), где которой говорилось о том, что данный компьютер заражён и входит в ботнет. На этой странице также находилась ссылка на сайт Касперского с инструкциями по лечению компьютера (www.kaspersky.com/shadowbot). Трояны, которые применяются для построения ботнета Shadow, зафиксированы в базах "Антивируса Касперского" еще с января. Однако Эдди Виллемс, ведущий эксперт "Лаборатории Касперского" в странах Бенилюкса, предупреждает, что вредоносная программа могла загрузить на зараженный компьютер дополнительное вредоносное ПО - поэтому пользователи должны дополнительно произвести полную проверку машины, используя антивирус с актуальными антивирусными базами. На сегодня это видимо первый крупный случай, когда вредоносная сеть, построенная злоумышленниками, используется против них самих. Интересно, что в феврале этого года на конференции i-Safety 2008 главред "Вебпланеты" интересовался у представителей "Лаборатории", как они относятся к идее "ответить ботнетом на ботнет". Тогда Андрей Ярных ответил, что пока таких планов нет - ЛК может лишь предупреждать и лечить конечных пользователей "на их стороне". Однако и данный пример, и появление Kaspersky Security Network в новой версии продуктов компании показывают, что ЛК все-таки движется в сторону использования сетевых методов против сетевых же угроз.