По оценке компании Damballa, ботнет Kraken, первоначально названный исследователями «Mayday» («SOS») за многообещающий потенциал, в настоящее время насчитывает свыше 400000 инфицированных машин и к середине апреля пополнит свои ряды еще 200000 жертвами.
Специалисты Damballa впервые зафиксировали результаты деятельности операторов нового ботнета еще в конце 2006 года, но с уверенностью установить его уникальность смогли только в этом году. Долгое время исследователи не исключали возможность, что он является одним из сегментов «штормового» ботнета. Последний, по их предположениям, в настоящее время объединяет около 200000 зомби-компьютеров (по другим оценкам – 85000).
Метод инфицирования, применяемый операторами ботнета Kraken, до конца не выяснен. Предполагается, что заражение происходит при открытии вложения в спамовое письмо, замаскированного под файл изображения (с такими расширениями, как «.jpeg» или «.png»). Вместо указанного изображения на машину жертвы загружается исполняемый файл, классифицируемый в «Лаборатории Касперского» как Virus.DOS.I13.Kraken и Virus.Unix.Kraken. В настоящее время он детектируется только 20% антивирусных программ.
По данным исследователей, создатели Kraken предусмотрели возможность изменения структуры кода, что затрудняет работу статических анализаторов и детекторов сигнатур. После активации вредоносная программа копирует себя на жесткий диск компьютера жертвы в несколько измененном формате – на случай обнаружения оригинала антивирусными средствами. В качестве дополнительной меры защиты резидентная программа периодически обращается к командному серверу за обновлениями. Эксперты Damballa отмечают большое количество вариантов Kraken и высокую скорость их обновления.
Внутренний трафик ботнета шифруется, для передачи управляющих команд используется специальный протокол, работающий поверх UDP и TCP. При выходе из строя командного сервера его функции автоматически переносятся на другой узел внутри ботнета в соответствии с жестко заданным алгоритмом. По данным Damballa, основные командные серверы Kraken находятся на территории Франции, России и США. В настоящее время в состав данного ботнета входят не менее 50 компьютеров, принадлежащих компаниям из списка «Fortune 500», сети которых оборудованы новейшими антивирусными средствами.
Основной деятельностью операторов ботнета Kraken пока является рассылка спам-рекламы займов и ссуд на выгодных условиях, медицинских препаратов для сильной половины интернет-сообщества, поддельных часов и онлайн-казино. Специалисты Damballa отмечают высокую производительность используемых ботнетом программ для рассылки спама, которая может составлять 500000 писем в сутки. Однако они не исключают возможность использования ботнета для выполнения и других криминальных задач.
searchsecurity.techtarget.com
