Microsoft начали охоту за ZeroAccess

в 11:25, , рубрики: zeroaccess, Блог компании ESET NOD32, Вирусы (и антивирусы), метки:

Компания заручившись поддержкой ФБР и Europol начала операцию по выведению из строя одного из самых крупных на сегодняшний день ботнетов, который приносил злоумышленникам большие деньги. Вредоносным кодом ZeroAccess (aka ZAccess, Sirefef) скомпрометировано более 2 млн. компьютеров и он используется злоумышленниками для выполнения различных мошеннических операций и извлечения материальной выгоды, один из самых известных компонентов — кликер, который позволяет генерировать переходы по рекламным ссылкам на компьютерах ничего не подозревающих пользователей (с предполагаемой ежемесячной прибылью киберпреступников $2,7 млн).

Microsoft начали охоту за ZeroAccess

Про одну из последних модификаций этой вредоносной программы мы писали в блоге. Современная версия ZAccess использует скрытное заражение системного файла services.exe (aka SCM). Причем вредоносный код имеет в своем арсенале и компоненты для 64-битной версии Windows. Подобный способ обеспечения своего выживания является достаточно эффективным, при этом нужно отметить, что авторы этого вредоносного ПО подходили к его разработке весьма серьезно, так предыдущие версии содержали специальный сложно обнаруживаемый руткит, который глубоко скрывал компоненты вредоносной программы. В прошлом году стало очевидно, что злоумышленники переключились на разработку обновленной версии, которая использует модификацию services.exe. Очевидно это связано с все большим доминированием 64-битных ОС и невозможностью применения 32-битных руткит-технологий на этих ОС ввиду очевидных ограничений.

Несмотря на то, что Microsoft совместно с другими компаниями и ISP ставят перед собой цель очистки компьютеров от вредоносного кода, данная операция направлена не на ликвидацию кода ZeroAccess. Предпринятые меры используются для разрушения инфраструктуры получения прибыли киберпреступниками. Ботнет использует распределенную P2P-архитектуру, что значительно усложняет его устранение в целом.

Компания не разглашает деталей операции, однако известно, что она получила разрешение на блокирование работы компьютеров с идентифицированными IP-адресами, через которые осуществлялись мошеннические схемы в Европе и США. Также благодаря усилиям European Cybercrime Centre был осуществлен физический демонтаж серверов, которые использовались для управления ботнетом.

Microsoft начали охоту за ZeroAccess

Как и в случае с Citadel (Zeus-based bot), суд удовлетворил прошение MS о передаче под их контроль доменов, которые использовались злоумышленниками.

Microsoft начали охоту за ZeroAccess

Информация гражданских исков и другие правовые акты представлены здесь.

Автор: esetnod32

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js