В минувшем году Cloudmark обнаружила свыше 359 тыс. уникальных вариантов текстового спама, разосланного американским и британским абонентам. Пик спамерской активности в SMS-сервисе пришелся на декабрь; за этот месяц эксперты зафиксировали более 53 тыс. уникальных спам-рассылок.

Статистика, приведенная в годовом отчете Cloudmark, основана на данных специализированной службы 7726, учрежденной в начале 2012 года международной ассоциацией провайдеров сотовой связи GSMA. Cloudmark является оператором этого сервиса, широко доступного в США и Великобритании, и осуществляет проверку жалоб на SMS-спам, поступающих от абонентов, сбор и анализ сопутствующей информации, а также рассылку отчетов провайдерам-участникам.

Ведущий телеоператор Польши и администратор национального реестра, NASK (Naukowa i Akademicka Sieć Komputerowa), установил контроль над 23 местными доменами, задействованными в командной инфраструктуре ботнета Virut.

Полиморфный вирус Virut, заражающий исполняемые файлы Windows, появился в интернете более 6 лет назад. Он распространяется через съемные носители, файлообменники, при этом зараженным может оказаться не только исполняемый, но и html-файл. Virut обладает функционалом бэкдора, и IRC-ботнет, созданный на его основе, зачастую используется для распространения других вредоносных программ, участвуя в многочисленных PPI-партнерках. С&С адреса и номера портов жестко прописаны в коде этого зловреда, хотя в начале текущего года он, по данным Symantec, обзавелся генератором доменов, ― резервным механизмом, позволяющим ботоводам быстро восстановить управление, если основные С&С домены окажутся вне доступа.

Министерство юстиции США и ФБР объявили об успешном проведении полицейских рейдов в Боснии и Герцеговине, Македонии, Новой Зеландии, Перу, Великобритании и США. Международная операция по выявлению ОПГ, распространяющих многочисленные варианты IM-червя Yahos и владеющих многомиллионным ботнетом, проводилась при активной поддержке местных силовиков и закончилась 10 арестами.

Детали, представленные в пресс-релизе ФБР, скудны и туманны. Известно лишь, что речь идет об 11 млн. заражений и $850-миллионном ущербе. Федеральные агенты также отмечают, что большую помощь в выявлении распространителей Yahos им оказала служба безопасности Facebook. Дело в том, что пару лет назад этот червь, наделенный функционалом IRC бота, обрел дополнительные возможности, открывшие ему врата в социальную сеть. Экспертам Facebook удалось идентифицировать аккаунты, с которых осуществляется распространение зловредных ссылок, определить масштабы распространения, ― к слову сказать, весьма скромные ― и первоисточники.

Участники швейцарского проекта Abuse.ch обнаружили, что операторы р2р-ботнета Kelihos, специализирующегося на рассылке спама, покинули TLD-домен .eu и обновляют боты с сайтов, размещенных в российской национальной зоне.

По данным Abuse.ch, перенос площадок, используемых злоумышленниками для распространения Kelihos, он же Hlux, в другую TLD-зону произошел минувшим летом. Активисты насчитали свыше 170 ru-доменов, ассоциированных с хостами fast-flux сети, раздающими вредоносные файлы calc.exe и rasta01.exe. Все эти домены зарегистрированы через Reggi.ru и обслуживаются NS-серверами, также размещенными на fast-flux ботнете. Регистратор DNS-имен все тот же – Internet.bs (Багамы).

RSA опубликовала результаты анализа новой версии банковского троянца Citadel. Ее отличительной чертой является возможность динамической реконфигурации, позволяющая операторам менять параметры веб-инъекций в реальном времени и закачивать изменения на конкретные боты или группы ботов, не прибегая к стандартной процедуре обновления конфигурационного файла.

Модификация ZeuS, известная как Citadel, позиционируется на черном рынке как SaaS-продукт с полноценной системой сопровождения. Зловред быстро совершенствуется при активном участии всего Citadel-сообщества. v1.3.5.1 Rain Edition, попавший на радары RSA, ― уже шестой релиз в рамках краудсорсинг-проекта, запущенного в начале текущего года.

Microsoft опубликовала официальное заявление о разрешении правового спора с российским программистом, которого она ошибочно сочла ботоводом Kelihos.

В этом заявлении обе стороны констатируют, что конфликт между ними исчерпан и дело «Microsoft против Андрея Сабельникова» закрыто. В ходе совместных переговоров установлено, что россиянин написал код, использованный создателями Kelihos, однако он не является оператором одноименного ботнета и не причастен к его деятельности. Условия данного договора об урегулировании оглашению не подлежат.

Имя петербуржца Сабельникова истец публично связал с деятельностью Kelihos, он же Hlux, в начале текущего года. Напомним, что данный ботнет был повержен год назад совместными усилиями MS, ЛК и Kyrus Tech. Тогда же Microsoft подала иск против безымянных создателей и операторов Kelihos, поименовав лишь 2-х ответчиков: службу бесплатных поддоменов, которую использовали ботоводы, и ее владельца. Однако позднее выяснилось, что последний ― обычный поставщик веб-услуг, и иск к нему был отозван.

Как оказалось, с обвинениями в адрес Сабельникова эксперты тоже поторопились, хотя их можно понять: чем скорее пресечешь активность ботовода, тем меньше шансов, что его детище восстанет из пепла. Сам россиянин горячо отрицал свою причастность к деятельности Kelihos, дал в СМИ несколько интервью и опубликовал открытое письмо на страницах ЖЖ, изъявив свою готовность разрешить недоразумение. В августе с ним связались представители Microsoft, чтобы начать переговоры. Истец был настроен воинственно и сразу проинформировал Сабельникова о том, что будет ходатайствовать в суде о вынесении заочного решения, если спор не удастся уладить в короткие сроки. В начале сентября появилось сообщение о том, что MS отзывает иск к россиянину, однако основания пока не привела.

Объявив ныне о мировом соглашении, Microsoft отметила, что ее труды по идентификации разработчика кода и подготовке свидетельств по делу Сабельникова не пропали втуне. Компания получила бесценный материал, дающий представление о том, как создаются бот-сети и как злоумышленники добывают коды для их построения. Эта информация позволит повысить эффективность комплексной борьбы с ботнетами, которую эксперты ведут с 2010 г. в рамках проекта MARS.

Sophos подытожила последние нововведения авторов ZeroAccess. По оценке компании, популяция этого зловреда в настоящее время составляет порядка 1 млн. Более половины активных ботов функционируют на территории США.

Руткит ZeroAccess появился в Сети несколько лет назад и в настоящее время, по оценке экспертов, является одной из самых распространенных Windows-угроз. Главная цель зловреда, поддерживающего как 32-, так и 64-битные версии ОС Windows, ― приобщить зараженную машину к р2р-ботнету и создать площадку для загрузки дополнительных модулей. Авторы ZeroAccess постоянно совершенствуют свое детище, расширяя его функционал и набор средств самозащиты.

Microsoft заключила мировое соглашение с ответчиком по делу о противоправном использовании доменной зоны 3322.org. По обоюдной договоренности компания отзывает свой иск и передает контроль над вредоносными поддоменами китайской группе реагирования на компьютерные инциденты (CN-CERT).

Напомним, что поводом для подачи иска послужило обнаружение командного сервера ботнета Nitol, который хостился в доменной зоне 3322.org и использовал ее сервис динамических DNS (DDNS). Владельцем домена и оператором DDNS-сервиса оказалась одна и та же китайская компания, которую Microsoft обвинила в потворстве ботоводам. Более того, в ходе расследования выяснилось, что 70 тыс. поддоменов 3322.org используют еще 500 разных зловредов. Чтобы пресечь вредоносную активность в этом адресном пространстве, MS с разрешения суда перенаправила DNS-трафик с 3322.org на свои серверы и стала его фильтровать.

Это решение было временным, и теперь, по условиям соглашения, китайский DDNS-сервис возобновит свою работу. Его владелец Пэн Юн (Peng Yong) изъявил готовность сотрудничать с Microsoft и китайской CERT и будет перенаправлять все запросы от поддоменов, указанных в блок-листах, на sinkhole-компьютер CN-CERT. Юн будет пополнять эти блок-листы по указанию MS и китайской стороны, а также помогать им отыскивать жертвы инфекции на территории Китая и оказывать посильную помощь в очистке.

Всю информацию, собранную в ходе расследования, Microsoft передаст CN-CERT, которая с помощью Юна постарается идентифицировать и призвать к ответу владельцев вредоносных поддоменов. За 2 с лишним недели фильтации DNS-трафика по 3322.org MS удалось заблокировать свыше 609 млн. запросов, исходящих с 7,65 млн. уникальных IP-адресов, прописанных в 40 странах. Чтобы оповестить интернет-провайдеров о заражениях и ускорить процесс очистки, эксперты связались с участниками security-проекта Shadowserver Foundation и начали распространять собранную информацию через национальные CERT.

По свидетельству Damballa, ботнет, построенный на базе руткита TDL-4, обрел еще одно средство самозащиты ― DGA, генератор доменов.

Использование DGA (Domain Generation Algorithm) для маскировки истинного местонахождения C&C ― трюк отнюдь не новый и достаточно эффективный. Его с успехом применяли ботоводы Kraken, Sinowal, Waledac, Kido и ZeuS, чтобы повысить жизнестойкость командной инфраструктуры. DGA-алгоритм с заданной частотой воспроизводит длинные списки доменных имен, сгенерированных на основе случайной выборки. Пытаясь связаться с центром управления, бот последовательно перебирает позиции списка и направляет запросы DNS-серверу до тех пор, пока не обнаружит работающий домен.

Эксперты обнаружили повышенную NS-активность, наблюдая очередную мошенническую кампанию по накрутке кликов (click fraud) с участием TDL-4. Характерные особенности DNS-трафика вызвали срабатывание сетевых анализаторов Damballa, настроенных на поиск в Сети угроз на базе DGA. Оказалось, что источником подозрительного поведения являются боты TDL-4, которые пытаются отыскать C&C в Сети, чтобы доложить о результатах click fraud махинаций. Подтвердить свою находку живым примером экспертам пока не удалось: никто из коллег, похоже, не располагает нужным сэмплом. Чтобы удостовериться в правильности своих предположений, Damballa пришлось использовать sinkhole-маршрутизатор, перехватывающий командный трафик, и снимки памяти с зараженных устройств.

DGA-модификация TDL-4 предположительно живет в интернете с мая текущего года. На ее счету уже свыше 250 тыс. жертв, в том числе правительственные ведомства, интернет-провайдеры и 46 компаний из списка Fortune 500. Исследователи насчитали 85 серверов и 418 уникальных доменов, ассоциированных с новым TDL-4. Наибольшее количество C&C обнаружено в России (26 хостов), Румынии (15) и Голландии (12). Упомянутая выше click fraud кампания нацелена на угон кликов с Facebook, DoubleClick, YouTube, Yahoo.com, MSN и Google.com.

TDL-4 появился на интернет-арене два года назад как очередной результат эволюции руткита TDSS. По данным ЛК в начале прошлого года в состав ботнета, построенного на его основе, входило, свыше 4,5 млн. зараженных компьютеров. Это мощное орудие используется злоумышленниками для махинаций с рекламными и поисковыми системами, обеспечения анонимного доступа в Сеть и установки других вредоносных программ на машины в зомби-сети. В арсенале TDL-4 имеются такие средства самозащиты, как шифрование командного трафика, управление по р2р-каналам, прокси-серверы и даже собственный «антивирус» ― для устранения конкурентов на местах. Находка Damballa вновь доказывает, что процесс совершенствования TDSS идет полным ходом.

Окружной суд Восточной Виргинии удовлетворил ходатайство Microsoft о захвате контроля над org-доменом, ассоциированным с вредоносной деятельностью. Разрешение выдано на ограниченный срок.

Поводом для подачи ходатайства послужил тот факт, что на домене 3322.org, владельцем которого является китайская компания, размещен командный сервер Nitol ― ботнета, попавшего на радары MS. Проверяя каналы своих поставок на китайский рынок, эксперты сделали контрольные покупки ― и обнаружили боты Nitol, установленные на ПК вместе с контрафактной версией Windows. Зараженными оказались 20% машин, приобретенных ревизорами в Китае. Цепочки поставок имеют больше количество промежуточных звеньев ― логистов, дистрибьюторов, реселлеров. В отсутствие адекватных политик и строгого контроля у субподрядчиков зловред мог быть внедрен на любом из этих этапов.