Специалисты «Лаборатории Касперского» о ботнете Kneber

Почти неделю назад американская компания Netwitness, занимающаяся компьютерной безопасностью, опубликовала отчет о том, что их эксперты обнаружили ботнет Kneber, состоящий из почти 75000 зараженных компьютеров. Упоминание в отчете о некой новизне угрозы породило массу слухов в интернете, и уже можно наткнуться на новости о новом вирусе Kneber, с которым обычная антивирусная защита якобы не в силах справиться. Что на самом деле представляет собой Kneber, рассказал Дмитрий Тараканов, вирусный аналитик «Лаборатории Касперского».

На поверку оказалось, что это «новейшее оружие» Kneber — не что иное, как название зомби-сети, полученное от псевдонима Hilary Kneber, на которого регистрировались вредоносные интернет-адреса. Злоумышленник под этим псевдонимом действительно заразил и контролировал очень много компьютеров пользователей известным троянцем ZeuS (он же ZBot).

Троянская программа ZBot — это инструмент для кражи конфиденциальных данных пользователей: логины и пароли от всего, чего только можно — электронная почта, социальные сети, интернет-банкинг, интернет-аукционы, интернет-биржы и т.п.; данные о кредитных карточках, сертификаты безопасности — все это получает злоумышленник от зараженного пользователя.

Компания Netwitness в отчете акцентирует внимание на заражение компьютеров корпоративных сетей и сетей государственных структур. Говорится о 2500 организациях, подвергшихся заражению. Для ZeuS’а нет различий между домашними пользователями и корпоративными сетями. Компании еще можно как-то проверить на наличие вредоносного программного обеспечения на компьютерах их корпоративной сети. А как проверить домашних пользователей? Заходить в каждый дом, в котором есть компьютер с выходом в интернет, чтобы проверить — не заражен ли он тем же Kneber’овским ZBot’ом? В общем, у нас нет данных, позволяющих говорить о какой-то конкретной нацеленности Kneber’a на коммерческие компании и государственные структуры. Здесь дело скорее в другом: в корпоративных сетях зачастую используют устаревшее оборудование с устаревшим программным обеспечением — что купили 4–5 лет назад, что установили тогда же — на том и работают.

Тем более, современные вредоносные программы работают скрытно, не выявляя своего присутствия, так что никто и не заметит заражения, если на безопасность не обращают должного внимания. Устаревшее оборудование, вынуждающее использовать устаревшее программное обеспечение — все это приводит к тому, что срабатывают эксплойты, заражающие через давно известные уязвимости.

Сценарий заражения может быть следующим: приходит спам-рассылка на корпоративную почту компаний, сотрудники переходят по ссылке, указанной в письме, сайт оказывается вредоносным, программное обеспечение у всех сотрудников корпоративное, устаревшее, срабатывает эксплойт с вредоносного сайта, заражаются целые компании. Согласно отчету, основную массу этого Кнеберовского ботнета составляли попавшиеся в сети преступника компьютеры из региона Ближнего Востока. Это Египет, Саудовская Аравия, Турция, Кувейт. Экспертам «Лаборатории Касперского» эти страны известны по высокому уровню распространения сетевых червей. Сетевые черви также используют уязвимости в устаревших системах, в которых не установлены последние обновления. Имеем не радужную картину — вредоносный спам при устаревшем программном обеспечении и/или сетевые черви, расползающиеся по локальной сети и впоследствии загружающие из интернета ZeuS'а — вот и повальные заражения одним троянцем, организовывается масштабный ботнет. По последним данным, не только ближневосточный регион страдает от недостаточно надежной политики компьютерной безопасности в компаниях, так как в топах заражений фигурируют США и Мексика.

Экспертам «Лаборатории Касперского» сам по себе ZeuS давно известен, отслеживается появление новых вариаций, сигнатуры на исполняемые файлы оперативно добавляются в антивирусные базы. Но даже если «новоиспеченный», по-новому зашифрованный ZeuS еще неизвестен по базе статических сигнатур, при запуске он будет распознан проактивным детектированием по поведению, и запуск заблокируется.

Пользователям, опасающимся заражения своих компьютеров, можно дать лишь стандартный совет: не надо пренебрегать безопасностью. Современные кибер-угрозы не терпят «средненькой» защиты, поверхностных знаний и отношения в области компьютерной безопасности.

Мгновенного изменения ситуации ждать не следует. Налицо системная проблема. Миллионы людей не поднимут в одночасье свой уровень компьютерной грамотности. Системные администраторы компаний и домашние пользователи разом не побегут в магазины за современными компьютерами, разом не купят новейшее программное обеспечение, не установят тотчас же эффективные антивирусные решения.