В рамках операции, которая длилась примерно год, эксперты Microsoft смогли заблокировать ботнет, созданный из компьютеров, зараженных вирусом Nitol. Данный вирус распространялся в том числе на новых компьютерах с Windows XP, продаваемых в магазинах в Китае. Специалисты по информационной безопасности из отдела Microsoft Digital Crimes Unit обезоружили разрастающуюся бот-сеть, созданную из компьютеров, зараженных вирусом Nitol. Об этом сообщается в блоге Microsoft.
Отключение бот-сети было проведено в рамках операции под кодовым названием Operation b70, которая началась в августе 2011 г. в Китае. Тогда эксперты Microsoft, посетив несколько китайских городов, приобрели двадцать новых персональных компьютеров, включая около десяти ноутбуков, с операционной системой Windows XP SP1 и SP3.
Проверив каждый, на трех из них исследователи обнаружили различное вредоносное программное обеспечение: Nitol, Trafog и Malat. Из трех программ исследователей больше всего заинтересовал Nitol, так как он единственный среди всех вел активную деятельность и пытался соединиться с командным сервером.
Nitol предназначен для проведения DDoS-атак и обладает способностью к самостоятельному копированию на все подключаемые к компьютеру внешние носители. Согласно официальной информации, вирус относится к категории вредоносного программного обеспечения под названием бэкдоры.
Бэкдор – это программа, которая позволяет злоумышленнику устанавливать на компьютере жертвы взломщик с целью последующего доступа к системе с полными правами. Помимо этого, он предоставляет злоумышленнику возможность дистанционно включать веб-камеру и микрофон на компьютере жертвы и фиксировать нажатие каждой клавиши (функция кейлоггера).
Microsoft ликвидировала второй бот-нет за последние 6 месяцев
В процессе расследования в Microsoft выяснили, что в большинстве случаем Nitol обращается к домену 3322.org, для того, чтобы получить адрес командного сервера. Обратившись к американской компании Nominum, специалисты смогли отфильтровать трафик, заблокирвовав все запросы вредоносного программного обеспечения к указанному домену.
Компания Nominum выступила в качестве истца, подав просьбу о блокировании трафика в Окружной суд в штате Виржиния. После получения разрешения в минувуший понедельник, 10 сентября, партнеры создали новый DNS-сервер, с помошью которого они смогли сохранить лишь тот трафик, который является безопасным для пользователей.
В Microsoft добавили, что за последние 6 месяцев она приняла участие в отключении уже второго ботнета. В конце весны специалисты софтверной корпорации вместе с коллегами из других компаний провели успешный рейд против бот-нета, созданного семейством вредоносных программ Zeus.