182
19.01.2013 компания Spamhaus
Virut - сетевой червь, распространяющийся посредством съемных носителей (например, USB накопителей) и сетевых ресурсов, но, вместе с тем, обладающей способностью к заражению файлов для собственного распространения. Согласно данным компании, размер бот-сети достигал 300 тыс. зараженных компьютеров. Для их управления злоумышленники использовали несколько десятков доменов преимущественно в доменных зонах .pl (Польша), .ru (Россия) и .at (Австрия).
По словам эксперта компании, попытки прекратить действие данной бот-сети предпринимались и ранее. Так, в декабре 2012 года компания Spamhaus совместно с группой реагирования на компьютерные инциденты Польши (CERT.pl) пыталась заблокировать доменные имена управляющих серверов бот-сети, расположенных в доменной зоне .pl, однако злоумышленники перенесли их на сервера другого провайдера home.pl.
17.01.2013 благодаря совместным действиям компании Spamhaus, CERT.pl и провайдера home.pl удалось получить доступ и заблокировать большинства управляющих серверов бот-сети. Кроме того, при поддержке Spamhaus российская компания Group-IB прекратила деятельность вредоносных доменов в своей доменной зоне.
=======================================
Компанией Spamhaus - компанией занимающейся борьбой со спамом, на прошлой неделе было деактивировано множество доменов, с которых происходило заражение компьютеров вредоносным ПО Virut.
Virut - вредоносное ПО, распространяющееся путем инфицирования исполняемых файлов и копирования себя на диски, доступные зараженному компьютеру. Некоторые варианты данного вредоноса к тому же еще инфицируют HTML, ASP и PHP-файлы с целью самораспространения.
После установки Virut использует зашифрованные IRC-каналы для обмена данными с командным центром, что позволяет вирусописателям контролировать ботнет.
По данным, полученным Symantec в ходе исследования, размер ботнета Virut достигал 300 тыс. зараженных компьютеров.
Ранее Virut использовался для распространения ZeuS и спамбота Kehlios. Теперь же, согласно исследованиям Symantec, Virut используется для распространения Waledac, что в свою очередь может привести к возрождению ботнета Waledac, ликвидированного в 2010 году экспертами компании Microsoft.
Исследователь из Spamhaus Томас Моррисон (Thomas Morrison) сообщил, что разработчики Virut используют несколько десятков доменов, среди которых домены в зонах
- .pl (Польша);
- .ru (Россия);
- .at (Австрия);
как часть своей C&C- инфраструктуры.
Блокирование трафика, генерируемого ботнетом Virut, было оперативно устранено совместной командой специалистов из Spamhaus, компании CERT (Polish Computer Emergency Response Team) и регистратором домена .pl.
Несколько доменов .pl, в том числе zief.pl и ircgalaxy.pl, использовались для размещения C&C-серверов Virut и другого вредоносного ПО (например, Palevo и ZeuS).
17 января 2013 года национальным польским регистратором было закрыто более 23 подобных доменов с целью защиты пользователей от угрозы, исходящей от Virut. Cерверы имен для этих доменов были изменены на sinkhole.cert.pl.
Кроме того, компанией Spamhaus в сотрудничестве с российской компанией Group-IB, занимающейся компьютерной безопасностью, были закрыты домены в зоне .ru.
Несмотря на то, что проделаны такие работы по уничтожению данного ботнета, часть C&C-инфраструктуры Virut все еще контролируется злоумышленниками. Например, домены в зоне .at все еще находится под контролем преступников.