Компания Microsoft объявила о скоординированной попытке ликвидации одного из крупнейших на сегодняшний день ботнетов, Necurs, распространяющего спам и малварь. Так, считается, что благодаря Necurs  было заражено более 9 000 000 компьютеров по всему миру. К примеру, по данным Microsoft, недавно инженеры компании отслеживали один единственный компьютер, зараженный Necurs, с которого было отправлено более 3,8 миллиона писем более чем 40,6 миллионам жертв.

Попытка уничтожить ботнет была предпринята после того, как Microsoft и ее отраслевые партнеры (компании, занимающиеся кибербезопасностью, провайдеры, регистраторы доменов, CERT и правоохранительные органы) сумели взломать Necurs DGA — алгоритм генерации доменов, при помощи которого ботнет генерирует случайные доменные имена. Используя DGA, операторы Necurs регистрируют домены на несколько недель или месяцев, а затем размещают на них управляющие серверы, к которым боты (зараженные компьютеры) подключаются для получения новых команд.

«Мы смогли точно спрогнозировать более шести миллионов уникальных доменов, которые будут созданы в течение следующих 25 месяцев, — рассказал Том Берт, вице-президент Microsoft. — Взяв под контроль существующие сайты и ограничив возможность регистрации новых, мы подорвали работу ботнета».

Разрушение структуры DGA позволило экспертам создать исчерпывающий список будущих доменов и управляющих серверов Necurs, которые теперь стало возможно блокировать и воспрепятствовать их регистрации. Также к делу подключилась команда юристов Microsoft, которая получила распоряжение суда, предоставляющее компании контроль над существующими доменами Necurs, которые размещены в США.

После того, как Microsoft установила контроль над существующей инфраструктурой Necurs, специалисты компании и ее партнеры смогли применить к ботнету sinkhole и получить информацию обо всех ботах. Теперь Microsoft сотрудничает с интернет-провайдерами и командами CERT по всему миру, уведомляя пострадавших пользователей о проблеме, чтобы те могли удалить малварь со своих компьютеров.

Компания BitSight, которая сыграла решающую роль в этой операции, уже опубликовала отчет об инфраструктуре Necurs, изучив ботнет еще до его ликвидации.

Оставить мнение