Исследователям из Университета Калифорнии удалось на 10 дней получить
контроль над хорошо известным ботнетом из взломанных компьютеров и изучить
процесс кражи личной и финансовой информации.
Ботнет, известный как Torpig (или Sinowal), является одной из самых
изощренных сетей подобного рода, и использует для заражения компьютеров и сбора
данных труднообнаруживаемое вредоносное ПО. Воспользовавшись уязвимостью в сети
управления ботнетом, эксперты получили возможность наблюдения за 180 000
скомпрометированных компьютеров. Найденную ими дыру хакеры прикрыли уже через 10
дней, обновив инструкции, однако и столь непродолжительного промежутка времени
оказалось достаточно, чтобы понять всю силу Torpig/Sinowal, ведь за наблюдаемый
период ботнет собрал 70 Гб пользовательских данных.
Специалисты сохранили всю перехваченную информацию и в данный момент работают
с провайдерами, ФБР и Министерством обороны США над тем, чтобы уведомить всех
жертв ботнета об утечке. В рамках расследования дела провайдеры также прикрыли
несколько сайтов, используемых для отправки команд на инфицированные машины.
Torpig/Sinowal способен воровать имена пользователей и пароли из почтовых
клиентов, таких например, как Outlook, Thunderbird и Eudora, а также собирать
там адреса электронной почты, чтобы впоследствии передать их в руки спамеров.
Может Torpig/Sinowal также красть пароли и из браузеров. Клиент ботнета попадает
на компьютер после того, как пользователь зашел на вредоносный сайт, который
проверяет машину жертвы на наличие непропатченных уязвимостей, и если таковые
обнаруживаются, на компьютер устанавливается руткит Mebroot, первые
свидетельства о появлении которого датированы декабрем 2007 года. Установившись,
Mebroot загружает другие опасные программы, необходимые для функционирования
ботнета.
