Эксперты обезвредили ботнет Virut, однако, злоумышленники все еще контролируют несколько доменов, используемых вредоносным ПО. На прошлой неделе исследователями организации Spamhaus, занимающейся борьбой со спамом, было деактивировано множество доменов, используемых киберпреступниками для контроля компьютеров, зараженных вредоносным ПО Virut. Virut распространяется путем инфицирования исполняемых файлов и копирования себя на диски, доступные зараженному компьютеру. Некоторые его варианты также инфицируют HTML, ASP и PHP-файлы с целью самораспространения.
После установки Virut использовал зашифрованные IRC-каналы для обмена данными с коммандным центром, что позволяло вирусописателям контролировать ботнет. Согласно данным, полученным Symantec в ходе исследования, размер ботнета Virut достигал 300 тыс. зараженных компьютеров.
Ранее Virut использовался для распространения ZeuS и спамбота Kelihos. Тем не менее, на прошлой неделе исследователи Symantec предупредили , что теперь Virut используется для распространения Waledac, а это может привести к возрождению ботнета Waledac, ликвидированного в 2010 году экспертами из Microsoft.
Как сообщил исследователь из Spamhaus Томас Моррисон (Thomas Morrison), разработчики Virut используют несколько десятков доменов, среди которых домены в зонах .pl (Польша), .ru (Россия) и .at (Австрия), как часть своей C&C- инфраструктуры.
Spamhaus, совместно с польским CERT (Polish Computer Emergency Response Team) и регистратором домена .pl, осуществили блокирование траффика, генерируемого ботнетом Virut.
Как сообщают польские эксперты CERT, несколько доменов .pl, в том числе zief.pl и ircgalaxy.pl, использовались для размещения C&C-серверов Virut, а также другого вредоносного ПО, например, Palevo и ZeuS. 17 января 2013 года национальный польский регистратор закрыл более 23 таких доменов для защиты пользователей от угрозы, исходящей от Virut. Cерверы имен для этих доменов были изменены на sinkhole.cert.pl.
В сотрудничестве с российской компанией Group-IB, занимающейся компьютерной безопасностью, Spamhaus закрыла домены в зоне .ru.
Тем не менее, Моррисон отмечает, что часть C&C-инфраструктуры Virut все еще контролируется злоумышленниками. Так, домены в зоне .at все еще находится под контролем преступников. Spamhaus неоднократно предупреждала об угрозе австрийского регистратора и надеется, что он последует примеру Польши и России и посодействует в обезвреживании ботнета.