ФБР, занимающийся хакерами и прочими киберпреступниками, по количеству сотрудников уступает только подразделениям, ведающим разведкой и борьбой с терроризмом. По данным этого департамента, основная преступная активность сосредоточена в странах Восточной Европы, в том числе России. Но больше отличился за последнее время все же румынский онлайн-сегмент, где на одном из хакерских форумов за $50 тысяч уже предлагался эксплойт под Windows Vista, позволяющий создать ботнет.
Традиционной средой для организации ботнетов являются IRC-серверы. После заражения компьютера вирус инсталлирует программу-робота, которая через заданные промежутки времени обращается к одному или группе IRC-серверов за командами так называемого мастера, то есть лица, управляющего ботнетом. Такая схема предусматривает взаимодействие всех ботов с одним центральным звеном, что делает сеть уязвимой, поскольку удаление сервера полностью нейтрализует ботнет.
Однако в декабре 2006 года выяснилось, что злоумышленникам удалось решить эту проблему. Специалисты SecureWorks обнаружили в Интернете нового троянца SpamThru, который объединяет компьютеры-зомби по принципу децентрализации. В создаваемом таким образом ботнете каждый участник получает информацию о других, и если управляющий сервер вдруг отключается, достаточно дать одному из ботов координаты нового источника команд, чтобы возобновить работу. Устойчивость ботнетов в этом случае заметно возрастает, и представители MessageLabs полагают, что в текущем году пиринговые зомби будут интенсивно плодиться. Также специалисты компании соотносят появление SpamThru, который, по их сведениям, был запущен в октябре прошлого года, со скачком спам-трафика в тот же период.
Получив доступ к файлам командного сервера, в SecureWorks выяснили, что разработчики SpamThru, по всей видимости, родом из России. Об этом свидетельствуют имена файлов и текст исходного кода. Также удалось выявить структуру сформированного ботнета. Сеть состоит из 73 тысяч инфицированных компьютеров, которые распределяются между портами сервера в зависимости от модификации SpamThru и группируются в пиринговые сегменты - по 512 машин в каждом. География зараженных зомби тоже впечатляет. Компьютеры ботнета обнаружены в 166 странах, хотя более половины все же сосредоточены на территории США. Интересно, что около половины ботов были установлены на компьютерах, работающих под управлением Windows XP SP2. Так что интерес Microsoft к этой угрозе вполне оправдан. Штат отдела корпорации по борьбе с ботнетами - Internet Safety Enforcement, в котором раньше работало только три человека, недавно был расширен до 65 сотрудников, а представитель Microsoft отметил, что в 2007 году ботнеты станут одной из самых серьезных проблем безопасности в Интернете.
Дабы укрепить неуязвимость ботнета, его владельцы установили беспрецедентно высокую частоту обращений ботов при сбое или отказе сервера - до 3 млн. запросов в сутки. Троян также занимается сбором почтовых адресов с винчестеров зараженных машин для формирования спамерской базы. Кроме того, на сервере был найден софт для взлома сайтов финансово-новостной тематики. Причем целью взломщика тоже служили списки почтовых адресов, по которым впоследствии рассылалась реклама биржевых услуг. Генерируются спам-письма по шаблонам, позволяющим избежать обнаружения большинством распространенных фильтров. Сообщения
