В: Что представляет собой ботнет Hlux/Kelihos?

О: Kelihos — это название ботнета по номенклатуре Microsoft, который у «Лаборатории Касперского» называется Hlux. Hlux является пиринговым (P2P) ботнетом с архитектурой, похожей на таковую ботнета Waledac. Сеть состоит из нескольких уровней узлов различных типов: контроллеров, маршрутизаторов и рабочих узлов.

В: Что такое пиринговый ботнет?

О: В отличие от классического ботнета, у пирингового (однорангового) ботнета нет центрального командного сервера (C&C). Каждый элемент сети может выполнять функции как сервера, так и клиента. Преимущество такого подхода с точки зрения злоумышленника состоит в отсутствии центрального сервера C&C, критически важного для функционирования всего ботнета. С нашей точки зрения, подобные ботнеты обладают тем недостатком, что их гораздо сложнее отключить, чем традиционные.

В сентябре прошлого года «Лаборатория Касперского» совместно с отделом по борьбе с киберпреступностью компании Microsoft, а также компаниями SurfNET и Kyrus Tech, Inc., успешно обезвредила опасный ботнет Hlux/Kelihos, внедрив в ботнет специальный sinkhole-маршрутизатор и переключив зараженные машины на хост, находящийся под нашим контролем.

Через несколько месяцев наши исследователи обнаружили новую версию вредоносного кода со значительными изменениями в протоколе передачи данных и некоторыми новыми особенностями, включая заражение через флэш-накопители и Bitcoin-функционал для генерирования биткойнов и кражи электронных кошельков.

Мы рады сообщить, что операцию по обезвреживанию этого нового ботнета мы провели совместно с CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project.

Для проведения sinkhole-операции на прошлой неделе мы установили по всему миру некоторое количество машин. В среду, 21 марта, мы наконец начали синхронизированное внедрение IP-адреса нашего sinkhole-маршрутизатора в P2P-сеть.

Через короткое время «популярность» нашего маршрутизатора в сети выросла, т.е. большая часть компьютеров, попавших в ботнет, обменивалась информацией только с нашим маршрутизатором: