Conficker, Супер-ботнет

Miyuki

Administratrix
Staff member
Conficker заразил уже 3,5 миллиона компьютеров

16.01.2009 10:19

Супер-ботнет, который строит появившийся в конце ноября прошлого года червь Conficker, вырос уже по крайней мере до 3,5 млн компьютеров. Таким образом, эта зомби-сеть по размерам переплюнула все известные до сих пор ботнеты, в том числе Storm, который, по некоторым оценкам, на пике своего развития включал от 500 тысяч до миллиона машин, сообщает The Register.

Инвентаризацию нового ботнета провели сотрудники антивирусной компании F-Secure. Для этого они воспользовались особенностями алгоритма, по которому работает Conficker (он же Downadup в классификации F-Secure).

Алгоритм этот достаточно хитрый: ежедневно, беря за основу отметки времени с публичных сайтов вроде Google и Baidu, программа генерирует массу последовательностей символов, похожих на доменные имена. Используя этот набор строк, зараженный компьютер пытается связаться с серверами, расположенными на соответствующих доменах. На практике такой домен может быть только один — его, используя тот же алгоритм, заранее регистрируют владельцы бот-сети, поднимают на нём сервер и, таким образом, контролируют всё стадо зомби-компьютеров.

Такой подход делает неэффективными традиционные методы борьбы с ботнетами, заключающиеся в закрытии вредоносных серверов. Ведь новые домены злоумышленники регистрируют каждый день, и даже если этот домен удастся обнаружить и заблокировать в столь короткий срок, завтра наступит новый день, и схема отработает снова.

С другой стороны, "хорошим парням" из F-Secure ничто не мешает самим зарегистрировать подходящий домен и дождаться, когда зараженные червём компьютеры начнут с ним связываться. Теоретически это даёт возможность вмешаться в работу всех выходящих на связь "зомби" и даже излечить их — но только теоретически: юридически такие действия расцениваются как "неправомочное использование", так что за благие намерения хорошим парням светит дорога прямо в пенитенциарный ад. (Аналогичная причина мешает немецким учёным зарубить на корню ботнет Storm.)

Поэтому в F-Secure ограничились лишь наблюдениями, которые, в частности, позволили определить количество входящих в супер-ботнет компьютеров. По самым скромным прикидкам, по состоянию на 13 января таких компьютеров оказалось без малого 2,4 млн, но уже через сутки их число выросло до 3,5 млн. В антивирусной компании считают свои расчёты весьма консервативными (точный подсчёт затрудняется тем, что за одним IP-адресом часто скрываются целые локальные сети), так что в реальности размеры ботнета должны быть существенно больше.

Первая пятёрка стран, где располагаются зараженные компьютеры, включает Китай, Бразилию, Россию, Индию и Украину. Примечательно, что, согласно ноябрьским данным Microsoft, Conficker по какой-то причине брезговал украинскими компьютерами, однако с тех пор, очевидно, ситуация изменилась.

Напомним, что для захвата контроля над компьютером-жертвой Conficker использует брешь в безопасности Windows, заплатка для которой была выпущена ещё 23 октября. После успешного захвата червь, опасаясь конкуренции, предусмотрительно прикрывает лазейку, через которую сам проник в компьютер.

http://webplanet.ru/news/security/2009/01/16/conficker_botnet.html
 
Top