Лаборатория Касперского помогла обезвредить ботнет Hlux/Kelihos
03.10.2011 16:28
—
Новости Hi-Tech
В рамках международного сотрудничества по борьбе с ботнетами и хостинговыми компаниями, предоставляющими возможность анонимной регистрации доменов, Лаборатория Касперского, Microsoft и Kyrus Tech обезвредили ботнет Kelihos.
Kelihos, изначально получивший от Лаборатории Касперского название Hlux, использовался для рассылки миллиардов спам-сообщений, кражи личных данных, проведения DDoS-атак и многих других видов криминальной деятельности. По некоторым оценкам, в него входило 40 000 компьютеров. Данные, предоставленные Лабораторией Касперского, использовались компанией Microsoft для составления гражданского иска против 24 человек, связанных с инфраструктурой Kelihos, что позволило отключить домены, используемые для управления и контроля ботнета. Кроме того, прямое заявление с подробной информацией и свидетельствами против ботнета Kelihos подала компания Kyrus Tech.
Таким образом, Лаборатория Касперского помогла нейтрализовать Kelihos, отслеживая его действия с начала 2011 года. В рамках совместного проекта по борьбе с ботнетом доступ к системе слежения в режиме реального времени был предоставлен компании Microsoft. Кроме того, Лаборатория Касперского приняла меры для устранения контроля киберпреступников над ботнетом: специалисты компании проанализировали код, используемый в ботнете, разобрали протокол связи, обнаружили уязвимость в пиринговой инфраструктуре и разработали соответствующие инструменты противодействия. Более того, с момента отключения по решению суда доменов, используемых в работе ботнета, Лаборатория Касперского начала операцию с использованием маршрутизатора-поглотителя (sinkhole) — один из компьютеров компании стал участвовать в комплексном внутреннем обмене данными в ботнете с целью получения контроля над Kelihos.
"С 26 сентября, когда Лаборатория Касперского начала операцию с применением маршрутизатора-поглотителя, ботнет является неработоспособным, — прокомментировал проект по нейтрализации Kelihos старший вирусный аналитик Лаборатории Касперского в Германии Тильман Вернер (Tillmann Werner). — В данный момент боты обмениваются информацией с нашим компьютером, что дает возможность провести интеллектуальный анализ и отследить случаи заражения по странам. На данный момент Лаборатория Касперского насчитывает 61 463 инфицированных IP-адресов и работает с соответствующими провайдерами с целью информирования владельцев сетей о заражениях".
Kelihos является пиринговым ботнетом и состоит из нескольких уровней, включающих в себя узлы различных типов: контроллеры, маршрутизаторы и рабочие узлы. Контроллеры — это компьютеры, предположительно управляемые киберпреступниками, стоящими за ботнетом. Они дают ботам команды и контролируют динамическую структуру пиринговой сети. Маршрутизаторы — это зараженные компьютеры с публичными IP-адресами, запускающие бот для рассылки спама, сбора адресов электронной почты, "выуживания" частной информации о пользователе из сетевого потока.
Компания Microsoft уже добавила вредоносную программу, которая использовалась ботнетом Kelihos для заражения компьютеров пользователей, в антивирусную базу Средства удаления вредоносных программ.
Это уже не первый случай сотрудничества Лаборатории Касперского и Microsoft в борьбе против киберпреступников. Примером успешного взаимодействия может служить обезвреживание скандально известного червя Stuxnet, применявшегося для взлома промышленных систем контроля, подобных используемым в ядерных программах Ирана.
Kelihos, изначально получивший от Лаборатории Касперского название Hlux, использовался для рассылки миллиардов спам-сообщений, кражи личных данных, проведения DDoS-атак и многих других видов криминальной деятельности. По некоторым оценкам, в него входило 40 000 компьютеров. Данные, предоставленные Лабораторией Касперского, использовались компанией Microsoft для составления гражданского иска против 24 человек, связанных с инфраструктурой Kelihos, что позволило отключить домены, используемые для управления и контроля ботнета. Кроме того, прямое заявление с подробной информацией и свидетельствами против ботнета Kelihos подала компания Kyrus Tech.
Таким образом, Лаборатория Касперского помогла нейтрализовать Kelihos, отслеживая его действия с начала 2011 года. В рамках совместного проекта по борьбе с ботнетом доступ к системе слежения в режиме реального времени был предоставлен компании Microsoft. Кроме того, Лаборатория Касперского приняла меры для устранения контроля киберпреступников над ботнетом: специалисты компании проанализировали код, используемый в ботнете, разобрали протокол связи, обнаружили уязвимость в пиринговой инфраструктуре и разработали соответствующие инструменты противодействия. Более того, с момента отключения по решению суда доменов, используемых в работе ботнета, Лаборатория Касперского начала операцию с использованием маршрутизатора-поглотителя (sinkhole) — один из компьютеров компании стал участвовать в комплексном внутреннем обмене данными в ботнете с целью получения контроля над Kelihos.
"С 26 сентября, когда Лаборатория Касперского начала операцию с применением маршрутизатора-поглотителя, ботнет является неработоспособным, — прокомментировал проект по нейтрализации Kelihos старший вирусный аналитик Лаборатории Касперского в Германии Тильман Вернер (Tillmann Werner). — В данный момент боты обмениваются информацией с нашим компьютером, что дает возможность провести интеллектуальный анализ и отследить случаи заражения по странам. На данный момент Лаборатория Касперского насчитывает 61 463 инфицированных IP-адресов и работает с соответствующими провайдерами с целью информирования владельцев сетей о заражениях".
Kelihos является пиринговым ботнетом и состоит из нескольких уровней, включающих в себя узлы различных типов: контроллеры, маршрутизаторы и рабочие узлы. Контроллеры — это компьютеры, предположительно управляемые киберпреступниками, стоящими за ботнетом. Они дают ботам команды и контролируют динамическую структуру пиринговой сети. Маршрутизаторы — это зараженные компьютеры с публичными IP-адресами, запускающие бот для рассылки спама, сбора адресов электронной почты, "выуживания" частной информации о пользователе из сетевого потока.
Компания Microsoft уже добавила вредоносную программу, которая использовалась ботнетом Kelihos для заражения компьютеров пользователей, в антивирусную базу Средства удаления вредоносных программ.
Это уже не первый случай сотрудничества Лаборатории Касперского и Microsoft в борьбе против киберпреступников. Примером успешного взаимодействия может служить обезвреживание скандально известного червя Stuxnet, применявшегося для взлома промышленных систем контроля, подобных используемым в ядерных программах Ирана.