На прошлой неделе компания Microsoft сообщила о прекращении работы опасного ботнета, который был ответственен за рассылку спама, кражу конфиденциальной финансовой информации, биржевые мошенничества типа «накачка и сброс» и DDoS-атаки.

«Лаборатория Касперского» сыграла решающую роль в операции по обезвреживанию ботнета. Специалисты «Лаборатории» провели работу по анализу вредоносного кода, используемого в боте, вскрыли его протокол обмена данными и разработали инструменты для воздействия на его пиринговую инфраструктуру. Мы тесно струдничали с Группой по борьбе с киберпреступлениями Microsoft (DCU), обмениваясь информацией и предоставляя им доступ к нашей системе оперативного отслеживания ботнетов.

Главным элементом в этой операции явилось использование sinkhole-маршрутизатора — один из компьютеров «Лаборатории Касперского» стал частью ботнета с целью получения контроля над ним. Важно понимать, что ботнет по-прежнему существует, но в настоящее время контролируется «Лабораторией Касперского». Параллельно с обращением Microsoft в судебную систему США с требованием отключить домены, используемые ботнетом, мы начали свою операцию по внедрению в ботнет sinkhole-маршрутизатора. В данное время к внедренному маршрутизатору ежеминутно обращается 3000 хостов. В данном блогпосте описывается внутренния работа ботнета, а также операция, проведенная нами для предотвращения его дальнейшего функционирования.

Порой обнаружение ботнета становится нелегкой задачей, особенно если запутаться в различных компонентах, таких как дропперы, инфекторы и прочие неприятные вещи. Около двух недель назад Хосе Назарио из Arbor Networks обратил мое внимание на новый зловред, оказавшийся еще одним P2P-ботом. После исполнения программа устанавливает большое количество всякой всячины, в том числе

• Исполняемый файл, скрытый в альтернативном потоке данных,
• Три генератора («майнера») Bitcoin: Ufasoft miner, RCP miner и Phoenix miner,
• Файл с информацией о географическом расположении IP-адресов.

Однако, пока оставим этот вопрос в стороне и поговорим об архитектуре ботнета, который на самом деле является всего лишь каналом для доставки других вредоносных программ на зараженные машины. Покопавшись в установленных программах, мы, наконец, нашли сам бот, который мы детектируем как Trojan.Win32.Miner.h. Файл защищен от анализа с помощью нескольких слоев обфускации, но в конце концов записывает исполняемый файл, сжатый упаковщиком UPX, в секцию памяти, откуда может быть восстановлен оригинальный код.

Помимо прочего, сразу же привлекает внимание список из 1953 строк IP-адресов, прописанных непосредственно в коде зловреда. Бот обращается к этим адресам на стадии загрузки для присоединения к пиринговой сети.