Федеральные власти сообщают, что они подорвали деятельность пресловутого
ботнета, который проник в наиболее секретные организации мира, благодаря
беспрецедентной стратегии уничтожения, в которой использовался правительственный
сервер, связанный непосредственно с инфицированными ПК.
Coreflood, который поработил почти 800 000 компьютеров, подвергся удару
ФБР в апреле. Ко второй
неделе июня количество инфицированных компьютеров стало столь незначительным,
что они стали едва различимы на диаграмме, которую агентство предоставило в
последних слушаниях в суде. В целом, количество компьютеров, подчиненных ботнету,
снизилось более, чем на 95%, написал в судебном документе специальный агент ФБР.
Операция Adeona по уничтожению ботнета была построена на новом подходе,
который может стать моделью для будущих действий. Прежде всего, используется
заменяющий командный сервер, который посылает команды "стоп" зомби-компьютерам,
что деактивирует вредоносную программу Coreflood до следующей перезагрузки.
Операция также призвала правительство работать с интернет-провайдерами, чтобы
установить обладателей инфицированных компьютеров и чтобы потом власти смогли
получить разрешение навсегда уничтожить вредоносную программу.
Это первый раз, когда правительственным органам США удалось послать команды
на взломанные ПК, которыми они не управляли. Действия были направлены на
предотвращение создания Coreflood-операторами новых серверов, чтобы воскресить
ботнет через несколько недель или месяцев после штурма.
Лишь 24 идентифицированные жертвы согласились позволить ФБР запустить команду
деинсталляции, но согласие, однако, стало результатом рассылки инструкций на 19
000 компьютеров, написал специальный агент Кеннет Келлер в декларации,
зарегистрированной в федеральном суде на прошлой неделе. Ни один из компьютеров
не пострадал от неблагоприятных последствий.
Новым в операции был также и способ работы правительственных властей с
интернет-провайдерами и поставщиками антивирусных программ для установления и
"обеззараживания" взломанных конечных пользователей. К концу мая более 20
основных антивирусных продуктов обнаруживали последние версии вредоносной
программы Coreflood. Также предпринимались меры для приостановки развития любых
новых вариаций, которые могут избежать обнаружения, что предоставляло
пользователям время, чтобы навсегда избавить свои компьютеры от инфекций.
В результате, сообщил Келлер, ФБР захотело прекратить работу сервера,
используемого для связи с инфицированными компьютерами, так чтобы правительство
смогло направить значительные средства, которые тратятся на его контроль и
управление, в другие сферы деятельности.
"Хотя ПО Coreflood снова начнет работать на все еще зараженных компьютерах
как только заменяющий сервер будет выведен из операции, конфискация доменов
Coreflood предотвратит доступ преступников к этим компьютерам или к данным,
украденным с этих компьютеров ", - написал он.
Coreflood инфицировал
более 2 миллионов компьютеров Windows с 2002 года. В течение 11 месяцев,
начиная с марта 2009 года, Coreflood перекачал около 190 Гб информации,
связанной с банковскими паролями и другими секретными данными более 413 000
инфицированных пользователей, сообщили власти.
Небывалый рост компьютерных преступлений в последние годы часто заставляет
хороших парней ощущать, будто они сгребают листья в ветреный день. Как недавняя
победа Microsoft над
ботнетом Rustock, так и почти полное искоренение Coreflood являются редкими
исключениями. Остается надеяться, что они не будут последними.