Semantec обезвредила крупный пиринговый ботнет

Компания Semantec рассказала об одном из крупнейших ботнете – ZeroAccess. Количество зараженных компьютеров, составлявших вредоносную сеть, в некоторые периоды превышало 1,9 миллиона единиц. В марте инженеры Semantec начали изучать ботнет с целью его нейтрализации.

ZeroAccess имеет P2P-архитектуру, то есть у него нет центрального сервера, а все команды и программные обновления передаются между компьютерами с помощью технологии peer-to-peer.

После заражения компьютер подключается к ближайшим компьютерам-пирам и обменивается с ними информацией. Таким образом, отключение нескольких серверов практически не скажется на работе ботнета. Кроме того, постоянный обмен пир-листами и обновлениями между ботами делает сеть крайне устойчивой.

В ходе лабораторных исследований инженерам Semantec удалось найти уязвимость в ZeroAccess, которая позволяет для обезвреживания ботнета применить технику синкхолинга (sinkholing). Но 29 июня в P2P-сети было обнаружено обновление, устраняющее эту уязвимость. 16 июля специалисты Semantec начали захват контроля над ботнетом. За короткое время удалось обезвредить более полумиллиона ботов, а впоследствии отключить большую часть сети. Нейтрализованные боты не могут осуществлять вредоносную деятельность и обновляться. Сейчас ведется работа по распространению информации о ботнете и очистке зараженных компьютеров.