Подразделение по борьбе с киберпреступностью Microsoft два года отслеживало активность ботнетов Jenxcus и Bladabindi, в состав которых входит около 10 млн компьютеров (за прошлый год антивирус Microsoft зарегистрировал 7 486 833 новых заражений), преимущественно в США и Западной Европе.

Расследование показало, что ключевую роль в работе ботнетов играет сервис No-IP.com — популярный бесплатный провайдер динамического DNS. Домены No-IP использовались для коммуникации с командным сервером в 93% случаев инфицирования троянами Jenxcus и Bladabindi.

000

По информации Microsoft, авторы вредоносных программ — жители Алжира и Кувейта. Специалисты впервые столкнулись с ботнетами такого размера, созданными за пределами Восточной Европы.

Поддоменами No-IP пользовались ещё 243 семейства вредоносных программ, помимо упомянутых ботнетов. Несмотря на многочисленные предупреждения, владельцы No-IP не предприняли необходимых мер для прекращения злоупотреблений своим сервисом, уверяет Microsoft. Представители No-IP опровергают это утверждение: говорят, что удаляют поддомены по требованию, а также используют фильтры для обнаружения вредоносного трафика в своей сети, а от Microsoft к ним вообще не поступало никаких запросов.

No-IP с 18 млн пользователей — один из последних бесплатных провайдеров динамического DNS, оставшихся на рынке, так что злоупотребления их сервисом случаются часто.

В январе и феврале Microsoft внесла упомянутые трояны в базу Malicious Software Removal Tool для автоматического удаления, но это не принесло особого эффекта. Поэтому редмондская компания решила подать документы в суд Невады, где зарегистрирована No-IP, для выдачи срочного временного запретительного судебного приказа (ex-parte temporary restraining order, TRO) в отношении No-IP.

По решению суда, 26 июня 2014 года 23 домена No-IP перешли под управление Microsoft. На этих доменах зарегистрированы миллионы поддоменов, подавляющее большинство которых принадлежит обычным пользователям, а не владельцам ботнетов.

Тем не менее, с помощью синкхолинга Microsoft перенаправила DNS-трафик клиентов на свои сервера ns8.microsoftinternetsafety.net и ns7.microsoftinternetsafety.net в попытке определить заражённые компьютеры. Вскоре информацию добавят в базу Cyber Threat Intelligence Program (CTIP) и предоставит интернет-провайдерам.

Компания No-IP, работающая на рынке с 1999 года, опубликовала формальный протест против захвата доменов. Провайдер динамического DNS приносит извинения всем пользователям, которые столкнулись с затруднениями в работе сервиса из-за действий Microsoft.

No-IP связалась с представителями Microsoft для выяснения обстоятельств и получила ответ, что та намерена только отфильтровать трафик и удалить вредоносные поддомены. К сожалению, инфраструктура Azure не выдержала такого количества запросов, из-за чего пострадали миллионы пользователей. За 14 лет работы сервиса No-IP это самый серьёзный сбой.

Похоже, Microsoft на многое готова ради борьбы с вредоносным ПО. В прошлый раз они удалили программное обеспечение Tor с миллионов компьютеров, потому что ботнет работал через Tor.



3 комментария

  1. 07.07.2014 at 13:52

    Microsoft совсем оборзели , они уже не в целях безопасности лезут не в свои дела ,а в тех целях которые мешают им . Для развития своей индустрии. США дождется скоро мы нахрен уйдем в их проектов , и у нас будут свои Русские проекты . Правда пока у нас проблемные они . Например ОС на базе linux , процессор Baikal

  2. 31.07.2014 at 05:30

    Лол, суд взял сервера одной компании и передали их под управление другой коммерческой компании? На каком основании?

  3. http://www.retaggr.com/page/StalkerNOVA

    31.07.2014 at 06:30

    Следующая новость в данном направлении: Майкрософт пришла к выводу что ВСЕ ботнеты используют в своей работе интернет, в результате пользователям остались доступны только ресурсы, находящиеся исключительно в облаке Azure.

Оставить мнение