Исследование ботнета выявило кражу 70 Гб личной и финансовой информации

05.05.2009

Исследователям из Университета Калифорнии удалось на 10 дней получить контроль над хорошо известным ботнетом из взломанных компьютеров и изучить процесс кражи личной и финансовой информации.

Ботнет, известный как Torpig (или Sinowal), является одной из самых изощренных сетей подобного рода, и использует для заражения компьютеров и сбора данных труднообнаруживаемое вредоносное ПО. Воспользовавшись уязвимостью в сети управления ботнетом, эксперты получили возможность наблюдения за 180 000 скомпрометированных компьютеров. Найденную ими дыру хакеры прикрыли уже через 10 дней, обновив инструкции, однако и столь непродолжительного промежутка времени оказалось достаточно, чтобы понять всю силу Torpig/Sinowal, ведь за наблюдаемый период ботнет собрал 70 Гб пользовательских данных.

Специалисты сохранили всю перехваченную информацию и в данный момент работают с провайдерами, ФБР и Министерством обороны США над тем, чтобы уведомить всех жертв ботнета об утечке. В рамках расследования дела провайдеры также прикрыли несколько сайтов, используемых для отправки команд на инфицированные машины.

Torpig/Sinowal способен воровать имена пользователей и пароли из почтовых клиентов, таких например, как Outlook, Thunderbird и Eudora, а также собирать там адреса электронной почты, чтобы впоследствии передать их в руки спамеров. Может Torpig/Sinowal также красть пароли и из браузеров. Клиент ботнета попадает на компьютер после того, как пользователь зашел на вредоносный сайт, который проверяет машину жертвы на наличие непропатченных уязвимостей, и если таковые обнаруживаются, на компьютер устанавливается руткит Mebroot, первые свидетельства о появлении которого датированы декабрем 2007 года. Установившись, Mebroot загружает другие опасные программы, необходимые для функционирования ботнета.