Эксперты из американской компании Proofpoint, которая занимается защитой личных данных, заявили об обнаружении ботнета нового образца, который, по их словам, уже несколько лет скрытно действует во всемирной сети, умудряясь избегать обнаружения антивирусами. Вредоносная сеть, по глобальным меркам, довольно небольшая — 500 тысяч компьютеров. Но этого хватает.

Дело в том, что используется ботнет не по прямому назначению — он не участвует в DDoS-атаках. Каждая зараженная машина служит злоумышленникам "дойной коровой", добывая данные о счетах и кредитных картах. Причем, осторожные организаторы ботнета не используют эти данные для прямого взлома и хищений денег — вместо этого они украденную информацию продают.

В отчете Proofpoint указаны тарифы. Прайслист, кстати, на русском. На то, что для создателей сети русский язык родной, указывают и многие слова и названия в кодах многочисленных эксплойтов, например, "ветерочег", "подмена" и т.д. Собственно, весь интерфейс управляющих программ — на русском. И то, как он написан, позволяет предположить, что авторы программы делали ее так, чтобы администрировать ботнет могли люди средне или малообразованные, которых можно научить нескольким простым операциям. Все это, а также прайслист и даже, судя по всему, наличие техподдержки, говорит о том, что действует крупная коммерческая структура.

Самое интересное — то, как ботнету удается избегать обнаружения. В основе преступной схемы — вполне стандартные действия. Злоумышленники покупают на черном рынке пароли администраторского доступа к различным интернет-сайтам. Далее из огромного объема данных специально написанная программа отсеивает нерабочие аккаунты и входит в рабочие.

Потом на взломанные сайты "вешают" программы, перенаправляющие трафик. Пользователей, попавших на такую страницу, на короткое время перекидывает на подменный ресурс, где и происходит заражение. Но у таких механизмов есть неприятная особенность — антивирусы их знают и легко находят.

И здесь начинается самое интересное. Злоумышленники написали алгоритм, который отличает простых, беззащитных пользователей от роботов-антивирусов. Последних отправляют в обход заразного сайта на обычный. То есть, обнаружить заражение практически невозможно. А так как о нем не знают — никаких контрмер производители антивирусов не принимают. Более того, модифицируются не только "очаги" заражения, но и каждый отдельный троянец. Коды стандартных вирусов меняют таким образом, чтобы антивирус их не узнавал. Прежде чем запустить "червя", его проверяют на портале scan4u, агрегаторе баз данных ВСЕХ мировых антивирусов.

К тому же, хакеры изобрели автоматическую систему "обновлений". Как только модифицированный троянец оказывается в чьей-либо антивирусной базе, его деятельность автоматически замораживается, и он переписывается, чтобы снова стать невидимым. Работает это безупречно. Например, в лаборатории Касперского нам сказали, что не имеют никакой информации о ботнете. Ну а обнаружить его удалось чисто случайно. Один из исследователей Proofpoint нарвался на браузерную контрольную панель злоумышленников, которая оказалась не защищена паролем. К тому времени, когда хакеры об этом узнали и все-таки закрыли страницу, вся информация уже была в руках исследователей.

Только вот остановить ботнет пока невозможно. Сам Proofpoint не делает антивирусов, а другие производители, судя по всему, действительно ничего о новой угрозе не знают. А вот администрация ботнета, напротив, внимательно следит за всеми обновлениями баз, всегда оказываясь на шаг впереди преследователей. Proofpoint, конечно, разослал предупреждения всем зараженным ресурсам, но, как сообщили в компании, большинство администраторов, которые пользуются стандартными антивирусными приложениями, назвали сообщения ложной тревогой. К тому же, администрации ботнета, а также ее клиентам, хватает ума не вываливать украденные базы данных в открытый доступ, и даже не заниматься прямым воровством. По заявлению Proofpoint, делается все это для тайных переводов средств, которые могут использоваться, например, для торговли оружием, наркотиками или спонсирования террористических организаций.

То есть, ботнет действует, и спасения от него пока нет. На данный момент о нем известно вот что. Более половины жертв используют операционную систему Windows XP. Ее обслуживание Microsoft приостановил еще в апреле, а, значит, оставшиеся уязвимости системы, а их немало, не устраняются. На втором месте — Windows 7. Большинство атак — почти 60 процентов, нацелены на клиентов пяти крупнейших банков США. И вообще, 75 процентов атакованных — на территории Штатов.

Словом, если все, что удалось узнать Proofpoint, правда, над финансовыми операциями в Интернете нависла новая, беспрецедентная угроза.