История с ботнетом Shadow, в нейтрализации которого поучаствовала "Лаборатория Касперского", кажется однозначной лишь на первый взгляд. Красивый жест антивирусной компании, оказавшей помощь голландской полиции и выручившей десятки тысяч пользователей, конечно, не остался незамеченным. Однако стоит ли АВ-вендорам заниматься оперативной работой, ведь миссия у разработчиков софта изначально иная?

Напомним, что предположительное количество жертв Shadow составило более 100 тыс. человек. Сайт Crime-research.ru приводит другую цифру – 150 тыс. В "зомби" злоумышленники превращали исключительно доверчивых юзеров, которые рискнули скачать неизвестный файл, пришедший от собеседника в Windows Live Messenger. Про "Лабораторию Касперского" вспомнила полиция Нидерландов, по случаю арестовавшая создателя Shadow. Сообщается, что он пытался продать свой ботнет гражданину Бразилии за 25 тыс. евро.


Российская АВ-компания разработала детальные инструкции, позволяющие пострадавшим спастись от "зомбирования" и очистить свой компьютер от сопричастных зловредов. Любопытно, что распространена эта спасительная инструкция была с помощью средств самой же зомби-сети. Специальная утилита сообщала пользователю о заражении и перенаправляла его на соответствующую страницу, а также позволяла подать жалобу в полицию.


Антивирусы в полицейской форме


В "Лаборатории Касперского" признают, что нейтрализация ботнетов не входит в непосредственные задачи компании. Хотя обычно антивирусные аналитики не отказывают в помощи "уполномоченным органам". Поскольку зомби-сети остаются одной из самых актуальных угроз ИБ, ЛК считает своим долгом работать в этом направлении. В данном случае пользователи продуктов компании были защищены от Shadow еще с 30 января. Коллеги из Dr.Web считают борьбу с ботнетами делом полиции, разработчики антивирусов должны обеспечивать пользователей эффективными средствами защиты. По-другому на этот вопрос смотрят в ESET. "Современный этап развития рынка АВ-решений в России предполагает, что компании, взявшие на себя "почетное право" разрабатывать программные средства для обеспечения безопасности, вынуждены задуматься о социальной ответственности перед всем IT-сообществом", - считает технический директор ESET Григорий Васильев.


В числе таких социальных инициатив упоминаются обучающие мероприятия для пользователей, распространение технологий глобального мониторинга угроз и сотрудничество с правоохранительными органами. Распространение ботнетов в ESET также считают социальной проблемой, "и не всегда технологии являются лучшим решением". Представители Agnitum полагают, что с задачей нейтрализации ботнета постфактум смог бы справиться любой крупный антивирусный вендор, добавивший в свои базы сигнатуру троянца Shadow. Гораздо сложнее проактивно защитить серверы (или ПК) и предотвратить само "закабаление". Проактивная защиты – прерогатива брандмауэров и HIPS.


Раскатать противника его же танком


Некоторые сомнения вызывает и использованный в голландском инциденте метод рассылки "лекарств", а именно – доставка инструкций по обезвреживанию Shadow средствами самой зомби-сети. Здравый смысл подсказывает, что это наиболее рациональный и эффективный способ, однако пользоваться оружием вирусописателей АВ-вендоры долгое время отказывались по принципиальным соображениям.


"Дело в том, что ранее при обнаружении ботнета можно было лишь перекрыть зомби-машинам доступ к центру управления. При этом тысячи машин оставались зараженными и могли перейти на управление через другой сервер", - пояснил Виталий Камлюк, старший антивирусный аналитик "Лаборатории Касперского". Тактику "ответного удара", использованную голландской полицией, он сам не считает однозначно правильной во всех случаях. По его словам, такие действия должны быть запрещены для всех, кроме уполномоченных организаций. "То, что мы видим сейчас - это первый шаг к тому, что Евгений Касперский некогда назвал интернет-интерполом. Соглашение между полицией всех стран, и координированное устранение ботнетов должно стать нормальной практикой в будущем глобальной сети", - добавил он.


В компании Agnitum считают, что отвечать ботнетом на ботнет не стоит не столько из этических, сколько из технологических соображений. "Не имея точной информации о прижившемся вредоносном коде, можно, посредством тех же предупреждений (в каком виде они дойдут до получателя?), окончательно подпортить свою репутацию", - считает Алексей Белкин, руководитель отдела постановки задач. Тактика борьбы с киберпреступниками их же методами обречена на провал, гораздо эффективнее будут юридические и карательные меры.


В "Лаборатории Касперского" сообщили, что иностранные аналитики компании, живущие за границей, локально работают с подразделениями полиции. Обращения происходят не слишком часто, в среднем 2-3 раза в квартал. Случай с Shadow на фоне обычно практики кажется экстраординарным
примером.