Арестованы создатели крупнейшего в мире ботнета Mariposa

    Совсем недавно мы писали о борьбе компании Microsoft с ботнетом Waledac. И теперь снова восторжествовала победа правосудия — удалось задержать непосредственно создателей другого ботнета под названием Mariposa. Это крупнейшая ботсеть, по аналитическим данным, состоящая почти из 13 миллионов машин зараженных пользователей. Помимо рядовых пользователей в него входили боты из банков и крупных компаний более чем из 190 стран мира.



    Итак, на этой неделе стало известно об аресте троих создателей Mariposa, которые имеют испанские корни. Mariposa (по-испански «бабочка») начал привлекать к себе внимание со стороны антивирусных компаний еще в начале 2009 года, а свое имя получил благодаря тексту «butterfly dot sinip dot es», найденному на сайте одного из командных центров. Данный ботнет был организован благодаря вредоносной программе, принадлежащей к семейству Win32/Peerfrag. Червь распространяется несколькими способами, что стало причиной организации многомиллионного ботнета:

    — заражает расшаренные папки для пиринговых сетей Ares Galaxy, BearShare, DC++, eMule
    — отсылает в программах мгновенного обмена сообщениями от имени зараженного пользователя, содержащие ссылку на червя
    — заражает съемные носителя путем модификации файла автозапуска

    Возможности Win32/Peerfrag довольно обширны:

    — удаленная установка дополнительных вредоносных модулей и их активация
    — осуществление DDoS-атак
    — хищение персональных и финансовых данных (номера кредитных карт или платежных систем )

    Киберпреступники создали свой ботнет на базе так называемого bot kit, купленного ими для этих целей. Недавно мы уже писали о похожих наборах для построения ботнетов и их непростой конкуренции. Червь написан довольно профессионально и имеет на борту множество механизмов усложняющих обратный анализ и обнаружение:

    — частые обновления и модификации экземпляров червя, позволяющие обходить сигнатурное обнаружение
    — противодействие запуску на виртуальных машинах и в «песочницах»
    — защищенный протокол взаимодействия с командным центром

    Сетевой протокол взаимодействия данной ботсети был подробно проанализирован компанией Palo Alto Networks, которая разработала специальный плагин для сетевого анализатора Wireshark, что позволило анализировать налету сетевой трафик Mariposa.

    На данный момент в нашей антивирусной лаборатории имеется около 300 различных модификаций этого червя. Подробный анализ Mariposa можно прочитать в рамках документа, созданного рабочей группой при расследовании данного инцидента.

    Поймать злоумышленников удалось благодаря случайности, когда уже стало известно о нахождении командных центров на территории Испании. Их удалось закрыть при сотрудничестве хостинг-провайдеров, что позволило обезглавить Mariposa. Однако один из киберпреступников попытался восстановить связь с ботнетом, используя свой домашний компьютер, и даже в ответ обидчикам провел DDoS-атаку. Тем самым преступник выдал себя, так как обычно все соединения осуществлялись только с использованием VPN.

    Кстати, Microsoft приводит следующую статистику по зафиксированных ею инцидентам Mariposa

    image
    По данным Microsoft, общее количество зафиксированных инцидентов составляет 1,183,728, а вылечено 1,031,097 ПК. Это лишь одна тринадцатая часть ботнета Mariposa.
    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 34

      +1
      Объём ботнета сильно преувеличен. Если эта цифра и не взята с потолка, то она никак не относится к объему ботнета конкретно этих испанцев.
        +10
        И все же. Рулить такой сетью — это ж афигеть. Это системный администратор планеты получается
        +6
        Очень содержательное видео.
          +2
          Хирургическое удаление вируса :))
            +2
            Да тому, челу, который жесткий вытаскивал, не хватает только перчаток=)
          +1
          а оказывается пока все спят, мир стал чуточку безопаснее
            0
            Мне интересно как выходят на них? За какие ниточки распутывают клубок миллионной ботсети.
              0
              >При сотрудничестве хостинг-провайдеров
              узнали IP-адрес VPNa того кто управлял головой. Сделали запрос в ДЦ и получили доступ к серверу на котором стоял впн. И когда стали известны настоящие адреса их песенка спета.

              Лично мне кажется странным что хозяин такой масштабной бот-сети пользовался всего лишь одним VPN!
                0
                Да просто директора ДЦ забрали и под ударами сапог, он согласился взять вину на себя.
              +18
              Пока где-то там, накрывают миллионные ботнеты, у нас, максимум на что спсобны, сравнивать серийники с найдеными в гугле…
                +1
                Теперь этот испанец, скорее всего, получит работу в неких структурах.
                Ну если это конечно его рук дело. Не вериться что сеть просто удалят.
                  0
                  Вот кстати, время историй про то, как хакера поймали, предложили работу и проч. уже давно прошли. Сейчас гораздо вероятнее что найденных как раз наоборот будут максимально жестоко и показательно казнить. Чтобы другим неповадно было. Потому как хороших работ для всех умных не хватит, а «умных», в свою очередь, становится всё больше.
                  +8
                  Пацаны шли к успеху)
                    –2
                    Этих создателей ботнетов надо электрошоком кастрировать и на урановые шахты, чтобы другим неповадно было. А то эти ботнеты уже как кролики плодятся.
                      +3
                      Виноваты софт и пользователи, которые позволяют таким ботнетом расти и процветать. А кастрировать лучше педофилов.
                        +1
                        Ну да, это всё юзеры, а эти чуваки всего-лишь «разместили объяву». Или вам напомнить как они начинают DDOSить сайты, а потом вымагать у людей деньги, порой нанося очень ощутимый урон бизнесу, от которого он не факт что и восстановится (в случае с малым бизнесом, например).
                          +1
                          В комментарии я не оправдывал создателей бот-сетей, а только повторял давно заезженную истину: «Бороться надо с причиной, а не со следствиями».
                      0
                      я единственный увидел «семёрку» на маке?!
                        –6
                        Я единственный думаю что ты очень умный?
                        0
                        Вот бы этих ребят ды на вычисление числа Пи например пристроить, вот это я понимаю.
                          +6
                          о да, более бесполезного занятия чем считать число Пи не придумать
                            +3
                            Для вас может и бесполезное. Вам ли ж бы бабло гребсти! падкие на деньги (. А Пи это для примера, есть куча областей где такая сеть помогла бы увеличить производительность в 100%-1000%
                              +1
                              интересный вывод у вас однако.
                              если бы был приведен пример расчетов для симуляции свёртывания молекул белка (и т.п.) — я бы не возражал.

                              з.ы. интересно, а как вы подсчитали, что ботнет на 13м ботов даст прирост производительности всего в 2-10 раз?))
                                +1
                                Извините, я хотел привести пример доступный для всех и каждого. А цифры с потолка, но прирост же будет и будет большой я уверен.
                                –3
                                В областях рассылки спама, взлома брутфорсом и задосивания серверов?
                                –1
                                представляю себе спам с червем и загаловком: П0м0ги с0считать Пи!
                            • UFO just landed and posted this here
                                +2
                                Этих товарищей надо сажать, сажать и сажать.
                                • UFO just landed and posted this here
                                    +1
                                    Таким образом можно оправдать любое говно. Факт в том, что чем его больше тем сильнее зловонье.
                                    0
                                    Чем больше посадишь, тем больше вырастет ;)
                                    Среду надо менять. В глобальном масштабе.
                                  0
                                  Джека Бауера на них нет! Он бы за 5 минут узнал все адреса зараженных компьютеров!
                                    +1
                                    «Однако один из киберпреступников попытался восстановить связь с ботнетом, используя свой домашний компьютер, и даже в ответ обидчикам провел DDoS-атаку. Тем самым преступник выдал себя, так как обычно все соединения осуществлялись только с использованием VPN»

                                    во дурак =) уходить надо достойно, достойно!
                                    а так — сиди, и это будет совершенно правильно
                                    • UFO just landed and posted this here

                                      Only users with full accounts can post comments. Log in, please.