для расчета стоимости абонентского обслуживания компьютеров Вашей организации
Зомби-сеть украла 70ГБ данных за 10 дней |
05.05.2009 | |||
Исследователи Калифорнийского университета проникли в зомби-сеть Torpig и получили важную информацию об одной из крупнейших зомби-сетей. За 10 дней наблюдения сеть Torpig собрала 8300 учетных записей из 410 различных организаций. Более 21% записей являются аккаунтами пользователей платежной системы PayPal. В общей сложности 298 тысяч уникальных учетных записей было похищено с 52 тысяч инфицированных компьютеров. Одним из вновь обнаруженных секретов Torpig оказалась возможность похищать учетные записи из большого числа компьютерных программ. В их числе оказались Mozilla Thunderbird, Microsoft Outlook, Skype, ICQ и 26 других приложений. Torpig постоянно отслеживает ввод символов в эти программы. Каждые 20 минут собранные данные выгружаются на серверы, подконтрольные владельцам зомби-сети. Поскольку вредоносный код работает на низком уровне, он способен похищать пароли до того, как они будут зашифрованы SSL или или иным способом. Исследователи смогли проникнуть в зомби-сеть, используя уязвимость в способе обновления вредоносного кода. Для получения обновления инфицированные компьютеры периодически генерируют большой список доменных имен. Обычно операторы зомби-сети используют только одно из имен, остальные игнорируются. Исследователи зарегистрировали один из принадлежащих к списку доменов и использовали его для захвата управления инфицированными компьютерами. Это позволило отслеживать деятельность зомби-сети в течение 10 дней, пока операторы зомби-сети не вернули себе контроль. В общей сложности исследователи насчитали более 180 тысяч инфицированных компьютеров. Зомби-сеть Torpig, известная также под названиями Sinowal и Anserin, распространяется с помощью руткита Mebroot. Этот руткит перезаписывает MBR жесткого диска. В результате Mebroot захватывает управление на ранних стадиях загрузки ПК, что позволяет ему обмануть антивирусные программы. |