На прошлой неделе в США была грохнута хостинг-компания, в результате чего был нанесен вред больше 500 000 ботов, теперь они больше не могут получать команды от преступников, заявил исследователь безопасности во вторник.

Хотя зараженные PC все еще являются рабочими, вредоносное ПО, ранее установленное, которое говорит им, что делать, больше не может получать команды по причине отключения компании McColo. "Полмиллиона ботов сейчас находятся вне сети или не поддерживают связь с серверами", предположил Джо Стюарт, директор по исследованиям вредоносного ПО в SecureWorks Inc.

Калифорнийская фирма была отключена от сети провайдерами по просьбе исследователей. Они посчитали, что из-за серверов этой компании произошло поразительное число киберпреступлений, включая работу серверов самых крупных ботсетей планеты. Зараженные PC рассылали 75% мирового спама; когда McColo вышла из строя, рассылка спама уменьшилась больше чем на 40 % за несколько часов. В результате рекордное количество ботов вышло из-под контроля хакеров после одного лишь события, сказал Стюарт. Он сравнил это событие с тем, что произошло в сентябре этого года, когда утилита Microsoft Malicious Software Removal Tool (MSRT) «почистила» почти 300 000 зараженных PC Storm Trojan’ом.

"Результат оказался положительным, но это не остановило глобальный поток спама," сказал Стюарт относительно MSRT. "Другие ботсети продолжали рассылать спам." С другой стороны, отключение McColo разрушило по крайней мере две главных ботсети – Rustock и Srizbi – из-за чего и приостановилась рассылка спама.

В апреле Стюарт сделал список 11 крупнейших ботсетей. На первом месте оказалась Srizbi численностью 315 000 ботов, а Rustock – с 150 000 на третьем. Операторы сети Rustock по словам Стюарта, возможно, никогда, уже не восстановят управление над своими ботами. "Похоже, что связь потеряна окончательно," сказал он, отметив, что ботам не хватает безотказности для повторного соединения с командным сервером, если тот рухнет, как это произошло с McColo.

И вот когда сети Rustock может лишиться своих ботов, у Srizbi есть шанс вернуть своих ботов обратно. "Когда боты Srizbi не могут подсоединиться, то согласно своей программе они должны попробовать другие домены" и найти себе новый сервер, сообщил Стюарт. Однако все эти домены уже успел зарегистрировать наш исследователь, когда вычислял код к сети Srizbi. "Они не получают новых команд," сказал Стюарт. А это указывает на то, что постороннее лицо, у кого не было исходного текста Srizbi, а значит и способа вычислить протоколы для отправления новых команд разъединенным ботам, - возможно, раскупил домены.

Может также статься, что создатели Srizbi подумали об этом, и любая попытка аварийного подключения к домену будет происходить посредством некоего алгоритма. "Боты, возможно, подлежат восстановлению, если программа Srizbi работает достаточно разумно, то есть не простой перебор доменных имен, а обращение к новым при условии, что домен не отсылает достоверных данных, размышлял Стюарт. Также Стюарт добавил, что эта ботсеть использовала более разделенную структуру – в сущности это набор меньших ботсетей, которые в свою очередь тоже разделены – что означает, что не все ее серверы хостила компания McColo.

И не все ботсети одинаково пострадали. Bobax и Cutwail все еще рассылают спам," сказал Стюарт. В его списке Bobax был на втором месте среди 11 ботсетей, насчитывая приблизительно 185 000 PC, в то время как Cutwail стоял на четвертом с 125 000 ботов. Хуже то, что даже если Rustock и Srizbi были надолго отключены, это не означает конец самих сетей. Для преступников гораздо проще скупить зомбированные компьютеры или просто распространить вредоносное ПО через какую-нибудь компанию, чтобы заразить новые системы. "Я уверен, что они еще дадут о себе знать," уверяет Стюарт.