Зомби-сеть украла 70ГБ данных за 10 дней
05.05.2009

Исследователи Калифорнийского университета проникли в зомби-сеть Torpig и получили важную информацию об одной из крупнейших зомби-сетей.

За 10 дней наблюдения сеть Torpig собрала 8300 учетных записей из 410 различных организаций. Более 21% записей являются аккаунтами пользователей платежной системы PayPal. В общей сложности 298 тысяч уникальных учетных записей было похищено с 52 тысяч инфицированных компьютеров.

Одним из вновь обнаруженных секретов Torpig оказалась возможность похищать учетные записи из большого числа компьютерных программ. В их числе оказались Mozilla Thunderbird, Microsoft Outlook, Skype, ICQ и 26 других приложений.

Torpig постоянно отслеживает ввод символов в эти программы. Каждые 20 минут собранные данные выгружаются на серверы, подконтрольные владельцам зомби-сети. Поскольку вредоносный код работает на низком уровне, он способен похищать пароли до того, как они будут зашифрованы SSL или или иным способом.

Исследователи смогли проникнуть в зомби-сеть, используя уязвимость в способе обновления вредоносного кода. Для получения обновления инфицированные компьютеры периодически генерируют большой список доменных имен. Обычно операторы зомби-сети используют только одно из имен, остальные игнорируются.

Исследователи зарегистрировали один из принадлежащих к списку доменов и использовали его для захвата управления инфицированными компьютерами. Это позволило отслеживать деятельность зомби-сети в течение 10 дней, пока операторы зомби-сети не вернули себе контроль.

В общей сложности исследователи насчитали более 180 тысяч инфицированных компьютеров.

Зомби-сеть Torpig, известная также под названиями Sinowal и Anserin, распространяется с помощью руткита Mebroot. Этот руткит перезаписывает MBR жесткого диска. В результате Mebroot захватывает управление на ранних стадиях загрузки ПК, что позволяет ему обмануть антивирусные программы.

 
Ваш системный администратор / Новости / Зомби-сеть украла 70ГБ данных за 10 дней