Читать «Компьютерра #25-26 (789-790)» онлайн - страница 25

Несмотря на ту очевидную угрозу, что представляют для общества зомби-сети вроде Torpig, исследователи признают, что даже не пытались вырубить работу ботнета, Поскольку столь крутой шаг легко мог бы привести к непредвиденным последствиям. Например, к самоликвидации зараженных ботами систем, часть из которых может быть задействована в критично важных областях — вроде компьютеров в медицинских учреждениях.

ПРИСТУПИТЬ

К САМОЛИКВИДАЦИИ

То, что программы-боты превращают зараженные машины в «зомби», уводя компьютеры из-под контроля владельцев и передавая под контроль злоумышленников, уже давно трактуется как одна из наиболее пугающих деталей в работе вредоносного ПО. Потому что тайные владельцы из преступного мира в принципе располагают всеми возможностями для полной ликвидации сети, отдав ботам команду на самоуничтожение вместе с приютившей их компьютерной системой.

Но хотя о возможностях таких известно уже давно, большинство экспертов обычно расценивают подобную угрозу как сугубо теоретическую. Ибо ликвидация захваченных ботнетом систем выглядит для атакующей стороны как-то слишком уж нелогично и контрпродуктивно.

Но как бы там ни было, логично или не очень, однако в реальной жизни подобные акты массового самоуничтожения ботнетов действительно случаются. И сравнительно недавно одно из таких «теоретически маловероятных» происшествий имел | возможность воочию наблюдать Роман Хюсси (Roman Hussy), молодой швейцарский специалист по компьютерной безопасности, автор и постоянный ведущий известного в профессиональных кругах вебсайта ZeusTracker (zeustracker.abuse.ch).

Хюсси и его сайт получили известность благодаря тому, что ZeusTracker на регулярной основе отслеживает длиннющий список серверов, использующих криминальный хакерский набор Zeus. To есть программный инструментарий, в разной комплектации продаваемый на черном рынке за сумму от 700 до 4000 долларов и используемый для построения ботнетов, заражающих компьютер троянцем для похищения паролей и прочей ценной информации, Одна из отличительных особенностей Zeus — это способности к полиморфизму, благодаря которым каждый конкретный вариант бота, установленного на компьютере-жертве, заметно отличается от собратьев, установленных в других машинах. Эта особенность существенно затрудняет обнаружение инфекции антивирусными средствами.

Среди множества возможностей Zeus имеется команда «kos», означающая kill operating system, то есть «убить операционную систему". Файл помощи, распространяемый в комплекте с набором Zeus, содержит примерно такое пояснение к работе данной функции: «kos — вывести из строя ОС, а именно уничтожить ветви реестра HKEY_CURRENT_USER и/ или HKEY_LOCAL_MACHINE». После того как уничтожение завершено, бот начинает полное обнуление виртуальной памяти системы. Как показывают эксперименты, в результате отдачи такой команды исследователями в лабораторных условиях наиболее вероятным итогом становится B.S.O.D, то есть «синий экран смерти» системы. Аналогичные по назначению команды имеются и в других ботнетах, однако kos из арсенала Zeus расценивается как одна из наиболее тяжелых по своим разрушительным последствиям.