Две недели назад специалисты с печалью констатировали, что с таким трудом добытая победа над одним из крупнейших ботнетов Hlux/Kelihos оказалась пирровой — спустя четыре месяца он снова ожил. Воскрешение ботнета наглядно демонстрирует сложность борьбы с подобными вредоносными сетями.
В сентябре 2011 года Kelihos был элегантно обезврежен в результате совместной операции Microsoft и «Лаборатория Касперского». Они использовали технику синкхолинга (sinkholing), в результате чего удалось перенаправить командный трафик троянов на собственный C&C-сервер. И вот теперь Kelihos снова ожил, так что для «Лаборатории Касперского» это уже дело чести — разобраться, что произошло и как работает новая система.
В первую очередь они объясняют, что старый ботнет по-прежнему находится под контролем «Лаборатории Касперского» и инфицированные машины не получают никаких команд от C&C-серверов и не рассылают спам.
То, что мы видим сейчас — это уже новая версия Hlux/Kelihos, на новых инфицированных машинах, но с тем же кодом ботнета (md5: 010AC0BFF69EB945108B57B40A4784BE, размер: 882176 B). Его анализ показывает следующее: кроме рассылки спама и проведения DDoS-атак, ботнет инфицирует флэшки, помещая на них файл Copy a Shortcut to google.Ink, как это делал Stuxnet, осуществляет поиск конфигурационных файлов от разных FTP-клиентов и отправляет их к себе на удалённый сервер, ворует кошельки Bitcoin, имеет встроенный Bitcoin-майнер для вычисления биткоинов на заражённой машине, может работать в режиме прокси-сервера, осуществляет поиск на диске файлов с email-адресами, оснащён сниффером для перехвата паролей в от почты, FTP и в HTTP-сессиях.
Часть кода Hlux, ответственная за кражу Bitcoin-кошельков
Вредоносное ПО загружается на компьютеры пользователей с доменов fast flux преимущественно в зоне .EU. Маленький загрузчик Hlux размером 47 КБ, такой же распространяется через ботнеты GBOT и Virut, инсталляции осуществляются методом drive-by с помощью набора эксплоитов Incognito.
На данный момент количество компьютеров в ботнете Hlux оценивается примерно в 8000 и постоянно расширяется за счёт заражения новых сайтов, куда внедряются скрипты с редиректом на Incognito, сайты заражаются по FTP (см. выше функционал по воровству паролей от FTP-клиентов). Как и раньше, ботнет занимается, в основном, рассылкой спама.
