Касперский зачистил ботнет c помощью самого ботнета

≡ Безопасность | Новости | 19.08.2008 16:57

"Лаборатория Касперского" помогла отделу по борьбе с высокотехнологичными преступлениями полиции Нидерландов нейтрализовать ботнет Shadow, состоявший из более 100000 зараженных машин.

Арест 19-летнего создателя ботнета, проведенный голландцами вместе с ФБР, произошел еще 29 июля. Справедливости ради стоит отметить, что ботнет Shadow, заражающий пользователей через Windows Live Messenger и MSN Messenger, был не очень продвинутым. Поскольку ботнетом управляли через IRC, отследить его командный центр было легче, чем в случае других современных ботнетов, которыми управляют через Web.

Необычным же этот случай стал после того, как бот-мастера арестовали. Получив контроль над ботнетом, голландская полиция не стала сразу вырубать его - а обратилась в "Лабораторию Касперского" с просьбой помочь пользователям зараженных компьютеров.

Представители ЛК рассказали "Вебпланете", что схема предупреждения пользователей была следующей. Сначала "Лаборатория" передала голландской полиции инструкции по ручному удалению программы бота, дальше полиция разослала через средства ботнета утилиту, автоматически открывающую их собственную страницу (www.nationale-recherche.nl/), где говорилось о том, что данный компьютер заражён и входит в ботнет. На этой странице также находилась ссылка на сайт Касперского с инструкциями по лечению компьютера (www.kaspersky.com/shadowbot).

Трояны, которые применяются для построения ботнета Shadow, зафиксированы в базах "Антивируса Касперского" еще с января. Однако Эдди Виллемс, ведущий эксперт "Лаборатории Касперского" в странах Бенилюкса, предупреждает, что вредоносная программа могла загрузить на зараженный компьютер дополнительное вредоносное ПО - поэтому пользователи должны дополнительно произвести полную проверку машины, используя антивирус с актуальными антивирусными базами.

На сегодня это видимо первый крупный случай, когда вредоносная сеть, построенная злоумышленниками, используется против них самих. Интересно, что в феврале этого года на конференции i-Safety 2008 главред "Вебпланеты" интересовался у представителей "Лаборатории", как они относятся к идее "ответить ботнетом на ботнет". Тогда Андрей Ярных ответил, что пока таких планов нет - ЛК может лишь предупреждать и лечить конечных пользователей "на их стороне".

Однако и данный пример, и появление Kaspersky Security Network в новой версии продуктов компании показывают, что ЛК все-таки движется в сторону использования сетевых методов против сетевых же угроз.

комментарии(2) |

разделы: Новости | Безопасность

Материалы по теме

Касперский 2009: мочить по спискам
Хорошие ботнеты победят плохие
Опасности Рунета: все идет по плану