Группа ИТ-компаний в составе "Лаборатории Касперского", CrowdStrike, Dell SecureWorks и Honeynet Project совместными усилиями блокировала вторую версию бот-сети Kelihos, которая стала значительно больше первой, отключенной корпорацией Microsoft и ее партнерами в сентябре 2011 года.
Ботнет Kelihos, также известный как Hlux, является преемником ботнетов Storm и Waledac. Как и предшественники, он имеет пиринговую структуру и используется преимущественно для проведения DDOS-атак. В сентябре 2011 года группа компаний, в составе Microsoft, Лаборатории Касперского, SurfNet и Kyrus Tech взяла под контроль оригинальный ботнет Kelihos и отключила его управляющую инфраструктуру.
Однако в январе этого года, "Лаборатория Касперского" обнаружила новую версию ботнета, которая имела улучшенную систему коммуникаций, а также встроенную возможность кражи электронной наличности Bitcoin. На прошлой неделе, проанализировав ботнет, обновленная группа экспертов приняла решение о блокировании и нового ботнета.
Как рассказали в "Лаборатории Касперского", отключение ботнетов с децентрализованной инфраструктурой представляет собой более сложную задачу, чем с одним или несколькими управляющими серверами, так как бот-клиенты способны обмениваться информацией друг с другом, инструктируя "соседей" о том, что нужно делать в конкретный момент времени.
Тиллман Вернер, ИТ-специалист компании CrowdStrike, говорит, что для блокировки работы пиринговой системы приходится использовать специальный трюк, вынуждающий инфицированные клиентские компьютеры обращаться к подложному централизованному серверу, находящемуся под управлением антивирусных компаний. Именно в процессе общения с подобным централизованным сервером, авторы операции по блокированию Kelihos 2 установили, что в реальности ботсеть значительно больше, чем они полагали. Если на момент отключения первого Kelihos количество активных ботов составляло 40 000, что сейчас оно составляло 110 000.
По оценкам антивирусных компаний, 25% ботов Kelihos 2 расположены на территории Польши, 10% - в США. Высокая концентрация ботов в Польше может указывать на то, что первичная вспышка заражения, а также центр управления также находятся здесь. Распространяли вредоносные коды для набора компьютеров в ботсеть при помощи различных мошеннических операций.
В "Лаборатории Касперского" говорят, что они уже проинформировали интернет-провайдеров, в сетях которых наблюдается высокая активность ботов Kelihos, чтобы те могли связаться со своими клиентами и сообщить им о факте заражения.