Правоохранительные органы при помощи коммерческих компаний Microsoft, Kaspersky Lab и Trend Micro прекратили деятельность крупного ботнета. Более чем на 770 000 компьютерах в 190 странах были установлены банковские трояны для копирования конфиденциальной информации, в том числе учётных данных для онлайн-банкинга. На боты также устанавливался бэкдор, чтобы в будущем загружать дополнительные функциональные модули.
Ботнет под названием Simda за последние полгода заражал примерно по 128 000 компьютеров в месяц. Каждые несколько дней выпускалась новая форма зловреда, чтобы затруднить распознавание антивирусными программами. Самые пострадавшие страны — Россия, США, Великобритания, Канада, Турция.
Операторы ботнета использовали различные способы для доставки зловреда на компьютеры пользователей, в том числе известные уязвимости в Oracle Java, Adobe Flash и Microsoft Silverlight, через SQL-инъекции и эксплоит-паки Blackhole и Styx, рассылку спама и проч. На заражённом компьютере модифицировался файл HOSTS, чтобы перенаправлять запросы через контролируемые ими ресурсы вроде connect.facebook.net и google-analytics.com.
Для закрытия ботнета власти в минувшие четверг и пятницу отключили от Сети 14 командных серверов на хостингах в США, Люксембурге, Польше и России.
Поискать свой IP-адрес в списке заражённых можно на этой странице. Не лишним будет на всякий случай проверить и файл %SYSTEM32%\drivers\etc\hosts. Хотя командные серверы выведены из строя, но клиентская часть Simda по-прежнему остаётся на 770 000 компьютерах.