iCover.ru — магазин инноваций
49,80
рейтинг
30 декабря 2015 в 05:25

Облачные технологи Microsoft помогли справиться с ботнетом Dorkbot

Приветствуем читателей блога iСover! В декабре этого года группа по борьбе с киберпреступностью, объединяющая специалистов Microsoft Cybercrime Center, польского бюро CERT, компании ESET, представителей ФБР, Интерпола, Европола и других служб Computer Emergency Response из нескольких стран провели масштабную операцию по обезвреживанию ботнета Win32/Dorkbot, поразившего компьютеры пользователей из более чем 200 стран мира. В статье вы найдете ссылку на небольшую программку ESET, которая позволит проверить компьютер и, при необходимости, удалить зловреда.

image

Вирусные аналитики ESET представили технический анализ вредоносной программы Win32/Dorkbot, от которой пострадали пользователи более чем в 200 странах мира. Программа для проверки компьютера и удаления Dorkbot в конце статьи.

Зловред распространяется преимущественно через социальные сети, наборы эксплойтов, спам-рассылки в письмах электронной почты и съемные носители. Будучи установленным на ПК, Dorkbot способствует сбоям в работе антивирусных программ, блокирует их обновление, получает инструкции от злоумышленников по протоколу IRC.

«Масштабы распространения Dorkbot, без преувеличения, приобрели угрожающий характер. Количество пользователей, чьи компьютеры ежемесячно подвергаются заражению последней версией Dorkbot на момент проведения операции достигло 100 000». — сказал Танмай Ганачарья (Tanmay Ganacharya), главный научный руководитель Malware Microsoft Protection Center (MMPC).

Зловред крадет пароли от сервисов Facebook и Twitter, способствует установке другого вредоносного ПО, в частности ПО для проведения DDoS-атак — Win32/Kasidet и спам-бота Win32/Lethic. Весьма значительное число образцов Dorkbot было обнаружено на съемных носителях.

Специалисты выяснили, что при запуске дроппера Dorkbot с USB-носителя зловред пытается загрузить с удаленного сервера основной компонент вредоносной программы. А адрес сервера зашит в исполняемом файле дроппера. После загрузки код файла исполняет файл Win32/Dorkbot.L — обертку для установки основного компонента Win32/Dorkbot.B.

Win32/Dorkbot.B, в свою очередь, отвечает за взаимодействие с удаленным сервером по IRC. Обертка Win32/Dorkbot.L перехватывает АРI-функцию DnsQuery у основного компонента. Такой метод в определенной степени осложняет обнаружение подлинных управляющих серверов злоумышленников.

По факту установки бот пытается подключиться к IRC – серверу и получает команды от своих операторов по фиксированному каналу. Чаще всего Dorkbot передает команды на загрузку и исполнение нового вредоносного ПО.«После того, как устройство заражено, вредоносная программа буквально общается с преступниками и ждет от них указаний на то, что именно от нее потребуется,» — сказал Ричард Бошкович, помощник главного юрисконсульта по цифровым преступлениям в Microsoft (DCU). «Заражены миллионы машин, количество пингов между этими инфицированными устройствами и серверами, предоставляющими им указания просто ошеломляет. Мы можем говорить иногда о миллиардах пингов день».

Для подавления активности Dorkbot специалисты из центра по борьбе с киберпреступностью Microsoft Cybercrime Center использовали аналитическое ПО, работающее в «облаке», ежесекундно обрабатывающее огромные объемы информации и позволяющее визуализировать процесс распространения угроз. По результатам программного анализа специалисты пришли к неутешительному выводу: скорость распространения инфекции оказалась вдвое больше, чем они предполагали. Скоординированный удар по вирусу был нанесен в декабре этого года.

Серверы, через которых распространялось вредоносное ПО были физически отключены. После блокирования основных серверов трафик ботнета был перенаправлен на защищенные серверы под контролем Microsoft, что позволило идентифицировать зараженные компьютеры, оповестить их пользователей и провести инструктаж по алгоритму обезвреживания вируса и дальнейшим мерам по противодействию заражению.

Использование облачной технологии Microsoft Azure позволило обеспечить необходимую вычислительную мощность. Данные, полученные в процессе исследования ботнета, в свою очередь, дали возможность принять некоторые меры по повышению уровня защиты сервиса Azure Active Directory Premium. Этот сервис предоставляет ИТ — администраторам актуальную информацию для обеспечения требуемого уровня безопасности, информирует их о попытках инфицированных устройств подключиться к корпоративной сети и позволяет защититься от масштабных атак.

Как и Microsoft, вирусные лаборатории ESET практически ежедневно получают от пользователей модифицированные образцы зловреда. Для проверки компьютера на присутствие Dorkbot и его последующего удаления ESET предлагает воспользоваться небольшой бесплатной программкой Dorkbot Cleaner, скачать которую можно здесь. После скачивания программы сканирование, как правило, занимает меньше минуты.

Подробнее


Уважаемые читатели, мы всегда с удовольствием встречаем и ждем вас на страницах нашего блога. Мы готовы и дальше делиться с вами самыми свежими новостями, обзорными статьями и другими публикациями и постараемся сделать все возможное для того, чтобы проведенное с нами время было для вас полезным. И, конечно, не забывайте подписываться на наши рубрики.

Специальная подборка Новогодних подарков от iCover

Другие наши статьи и события

Автор: @icover
iCover.ru
рейтинг 49,80
iCover.ru — магазин инноваций

Комментарии (9)

  • +2
    Спасибо за статью, такой легкий утренний детективчик и немного познавательно.
    Я просто не смог удержатся:

    главный научный руководитель Центра защиты от Microsoft (MMPC).
    • 0
      И вам спасибо за мнение и адекватную реакцию в нужном месте) Лишнее убрали.
  • 0
    Круто они работают все-таки.) Отрубить сервера, перенаправить трафик, проинформировать пользователей…
    Крупная операция.
  • 0
    > Использование облачной технологии Microsoft Azure позволило обеспечить необходимую вычислительную мощность. Данные, полученные в процессе исследования ботнета, в свою очередь, дали возможность принять некоторые меры по повышению уровня защиты сервиса Azure Active Directory Premium.

    > Для подавления активности Dorkbot специалисты из центра по борьбе с киберпреступностью Microsoft Cybercrime Center использовали аналитическое ПО, работающее в «облаке», ежесекундно обрабатывающее огромные объемы информации и позволяющее визуализировать процесс распространения угроз. По результатам программного анализа специалисты пришли к неутешительному выводу: скорость распространения инфекции оказалась вдвое больше, чем они предполагали

    Тоесть всю эту мощу использовали для подсчета количества заражений (рекомендации по улучшению защищенности можно получить по итогам работы вирус — аналитика). А подсчет заражений можно было получить и без визуализации — простым счетчиком заражений. Не подвергая сомнению саму операцию по уничтожению ботнета — чем помогло в этом облако?
    • +1
      Может быть, упор был на этом?
      позволяющее визуализировать процесс распространения угроз
      То есть их интересовала динамика + графическое ее представление.

      С другой стороны, мне так и осталось неясным, как это все помогло улучшить защиту Azure Active Directory Premium. Странный выхлоп, не очень понятно, откуда он.)
      • 0
        Я конечно не знаю, что там визуализировалось, но наши внутренние проекты сравнимого назначения сверхвысоких вычислительных мощностей насколько мне известно не требуют. Что там визуализировать? Уровень заражений по регионам и места расположения источников заражений? Всё простые достаточно счетчики работающие по выборке из базы данных. Ну положим 100тыс заражений ежемесячно. Даже в год порядка миллиона записей в базе. Ну не тянет это на страшные вычисления.

        Скорее всего просто было выбрано подходящее ПО, а по итогам его похвалили не очень удачно
        • 0
          Главный вопрос, нафига нужно было всё визуализировать?
          Неужели без красивенького отчёта топам нельзя было начинать лечить?
          =)
          Статья прекрасна.

          Суперкомпьютер помог нам построить модель дома с детализацией до 0,1 миллиметра, именно это помогло нам замесить 300 кубов бетона.
    • 0
      Облако помогло принять и обработать огромное количество
      • 0
        данных

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое