Ботнет Kelihos ожил. Вредоносная сеть, объединявшая от 40 до 45 тысяч зараженных компьютеров, которые отправляли каждый день до 4 миллиардов спам-сообщений и использовались для DDoS-aтак и рассылки вредоносного программного обеспечения, снова в строю. Хотя еще в сентябре этот ботнет, довольно долгое время отравлявший жизнь интернет-пользователям, был объявлен уничтоженным.
"Он был интересен тем, что использовал нестандартные методы, - отмечает Сергей Голованов - ведущий антивирусный эксперт "Лаборатории Касперского". - Он использовал механизм p2p. То есть когда зараженные компьютеры связываются не с владельцем для получения команды, а между собой, то есть такая вот сеть получалась бессерверной и бессвязной. То есть чтобы вывести из строя классический ботнет, нужно приехать в дата-центр и изъять сервер. То в случае с Kelihos такой сценарий не представлялся возможным. В программе управления ботнетом, в части этой программы, была найдена уязвимость, которая позволяла одним единственным запросом к любому зараженному компьютеру зациклить работу вредоносной программы на всех зараженных компьютерах, что и было сделано".
Но, оказалось, что вредоносная сеть вернулась к жизни в течение недели после того, как компания Microsoft в прошлом сентябре отчиталась о подавлении ботнета. Злоумышленники нашли способ обойти ловушку экспертов. Уничтожить же такой не классический ботнет, по мнению специалистов "Лаборатории Касперского", можно только одним способом.
"Как обычно показывает история борьбы с ботнетами, ботнет окончательно закрывается тогда, когда людей арестовывают, и дело передается в суд, вот тогда уж точно он не оживет, - констатирует Сергей Голованов. - К сожалению, с Kelihos так не получилось. Соответственно, уголовные дела были возбуждены, но подозреваемые до сих пор находятся на свободе".
Интересно в этой ситуации другое: почему о восставшем из забытья ботнете стало известно не в сентябре, а только сейчас. Сейчас, когда в самом разгаре находится скандал с обвинением компанией Microsoft российского программиста Андрея Сабельникова в создании сети Kelihos.
Microsoft сообщила в своем блоге, что подала иск против программиста в окружной суд США. Сабельников в свою очередь написал в своем блоге пост, в котором отрицает все обвинения.
Особый резонанс дело получило в связи с тем, что Сабельников в прошлом был сотрудником компаний, разрабатывающих антивирусное ПО. Все наши вопросы о подозреваемом в "Лаборатории Касперского" обошли стороной, оговорившись, что не они обвиняли программиста. Отметив также, что совпадение даты обвинения Андрея Сабельникова с объявлением о втором пришествии ботнета - всего лишь совпадение.
"Таких случайностей не бывает, но, по сути, "Лаборатория Касперского занимается" анализом вредоносной программы, мы не выводим ботнеты из строя, мы их анализируем, - поясняет Сергей Голованов. - Мы смотрим, какие технические решения были приняты злоумышленниками, как они написали код вредоносной программы. Дальше - вся юридическая система, весь юридический механизм по закрытию ботнета, ведь нужно понимать, что это действие по закрытию ботнета - оно полулегальное. И чтобы суд дал на это разрешение, этим занимался Microsoft. И то, что подозреваемый вышел, и мы нашли новую версию программы, - да, в такие совпадения трудно верить, но так оно и есть".