Исследователи из компании Sophos опубликовали второе исследование ботнета ZeroAccess, который значительно изменился с момента прошлого обзора. Авторы внесли изменения в код, количество инсталляций ZeroAccess выросло до девяти миллионов, а количество активных ботов — до 1 миллиона.
Большинство инфицированных машин находится в США.
В техническом отчёте эксперты в подробностях описывают механизм функционирования P2P-протокола между ботами (недавно протокол обновили), метод заражения, характеристики генерируемого сетевого трафика, связь ботов с командным сервером.
По оценке экспертов, за счёт кликфрода и майнинга биткоинов владельцы ботнета могут зарабатывать до $100 000 в день.
Архитектура ZeroAccess состоит из обычных узлов (за файрволами) и супернодов, которые могут общаться и между собой, в то время как обычные узлы могут связаться только с супернодами, но не друг с другом. Один из супернодов принадлежит злоумышленникам, через него они вбрасывают обновлённые файлы, которые распространяются по всей сети.
Исследователи связывают рост ZeroAccess с высокими ставками по партнёрской программе: владельцы ботнета платят партнёрам $500 за 1000 инсталляций в США, в то время как конкуренты — не более $150. Для определения страны заражения используется геоинформационная база порносайта знакомств fling.com.
