На прошлой неделе исследователями организации Spamhaus, занимающейся борьбой со спамом, было деактивировано множество доменов, используемых киберпреступниками для контроля компьютеров, зараженных вредоносным ПО Virut. Virut распространяется путем инфицирования исполняемых файлов и копирования себя на диски, доступные зараженному компьютеру. Некоторые его варианты также инфицируют HTML, ASP и PHP-файлы с целью самораспространения. После установки Virut использовал зашифрованные IRC-каналы для обмена данными с коммандным центром, что позволяло вирусописателям контролировать ботнет. Согласно данным, полученным Symantec в ходе исследования, размер ботнета Virut достигал 300 тыс. зараженных компьютеров. Ранее Virut использовался для распространения ZeuS и спамбота Kehlios. Тем не менее, на прошлой неделе исследователи Symantec предупредили , что теперь Virut используется для распространения Waledac, а это может привести к возрождению ботнета Waledac, ликвидированного в 2010 году экспертами из Microsoft. Как сообщил исследователь из Spamhaus Томас Моррисон (Thomas Morrison), разработчики Virut используют несколько десятков доменов, среди которых домены в зонах .pl (Польша), .ru (Россия) и .at (Австрия), как часть своей C&C- инфраструктуры. Spamhaus, совместно с польским CERT (Polish Computer Emergency Response Team) и регистратором домена .pl, осуществили блокирование траффика, генерируемого ботнетом Virut. Как сообщают польские эксперты CERT, несколько доменов .pl, в том числе zief.pl и ircgalaxy.pl, использовались для размещения C&C-серверов Virut, а также другого вредоносного ПО, например, Palevo и ZeuS. 17 января 2013 года национальный польский регистратор закрыл более 23 таких доменов для защиты пользователей от угрозы, исходящей от Virut. Cерверы имен для этих доменов были изменены на sinkhole.cert.pl. В сотрудничестве с российской компанией Group-IB, занимающейся компьютерной безопасностью, Spamhaus закрыла домены в зоне .ru. Тем не менее, Моррисон отмечает, что часть C&C-инфраструктуры Virut все еще контролируется злоумышленниками. Так, домены в зоне .at все еще находится под контролем преступников. Spamhaus неоднократно предупреждала об угрозе австрийского регистратора и надеется, что он последует примеру Польши и России и посодействует в обезвреживании ботнета.
SecurityLab.ru