Освобождено 770 000 машин из ботнета Simda

Правоохранительные органы при помощи коммерческих компаний Microsoft, Kaspersky Lab и Trend Micro прекратили деятельность крупного ботнета. Более чем на 770 000 компьютерах в 190 странах были установлены банковские трояны для копирования конфиденциальной информации, в том числе учётных данных для онлайн-банкинга. На боты также устанавливался бэкдор, чтобы в будущем загружать дополнительные функциональные модули.

Ботнет под названием Simda за последние полгода заражал примерно по 128 000 компьютеров в месяц. Каждые несколько дней выпускалась новая форма зловреда, чтобы затруднить распознавание антивирусными программами. Самые пострадавшие страны — Россия, США, Великобритания, Канада, Турция.

Операторы ботнета использовали различные способы для доставки зловреда на компьютеры пользователей, в том числе известные уязвимости в Oracle Java, Adobe Flash и Microsoft Silverlight, через SQL-инъекции и эксплоит-паки Blackhole и Styx, рассылку спама и проч. На заражённом компьютере модифицировался файл HOSTS, чтобы перенаправлять запросы через контролируемые ими ресурсы вроде connect.facebook.net и google-analytics.com.

Для закрытия ботнета власти в минувшие четверг и пятницу отключили от Сети 14 командных серверов на хостингах в США, Люксембурге, Польше и России.

Поискать свой IP-адрес в списке заражённых можно на этой странице. Не лишним будет на всякий случай проверить и файл %SYSTEM32%\drivers\etc\hosts. Хотя командные серверы выведены из строя, но клиентская часть Simda по-прежнему остаётся на 770 000 компьютерах.