Ботнет ZeroAccess

ZeroAccess — это троян компьютерная вредоносная программа- , поражающая операционные системы Microsoft Windows . Он используется для загрузки других вредоносных программ на зараженный компьютер из ботнета, оставаясь при этом скрытым с помощью руткит- методов. ^[1]

История и распространение

Ботнет ZeroAccess был обнаружен как минимум примерно в мае 2011 года. ^[2] ZeroAccess, Руткит ответственный за распространение ботнета, по оценкам, присутствует как минимум в 9 миллионах систем. ^[3] Оценки размера ботнета различаются в зависимости от источника; Производитель антивирусов Sophos оценил размер бот-сети примерно в 1 миллион активных и зараженных компьютеров в третьем квартале 2012 года, а фирма по обеспечению безопасности Kindsight оценила 2,2 миллиона зараженных и активных систем. ^[4]^[5]

Сам бот распространяется через руткит ZeroAccess посредством различных векторов атак. Один из векторов атаки — это форма социальной инженерии , когда пользователя убеждают выполнить вредоносный код, либо замаскировав его под законный файл, либо включив его в качестве дополнительной полезной нагрузки в исполняемый файл, который объявляет себя, например, обходящим защиту авторских прав. ( кейген ). Второй вектор атаки использует рекламную сеть , чтобы заставить пользователя щелкнуть рекламу, которая перенаправляет его на сайт, на котором размещено само вредоносное программное обеспечение. Наконец, третьим используемым вектором заражения является партнерская схема, при которой сторонним лицам платят за установку руткита в систему. ^[6]^[7]

В декабре 2013 года коалиция во главе с Microsoft предприняла попытку уничтожить сеть управления и контроля ботнета. Однако атака оказалась неэффективной, поскольку не все командные центры были захвачены, а его компонент однорангового управления и контроля не был затронут, а это означает, что ботнет все еще мог обновляться по своему желанию. ^[8]

Операция

После заражения системы руткитом ZeroAccess она запускает одну из двух основных операций ботнета: майнинг биткойнов или мошенничество с кликами . Машины, участвующие в майнинге биткойнов, генерируют биткойны для своего контроллера, оценочная стоимость которых в сентябре 2012 года составляла 2,7 миллиона долларов США в год. ^[9] Машины, используемые для мошенничества с кликами, имитируют клики по рекламным объявлениям на веб-сайтах, оплачиваемые по принципу оплаты за клик . Предполагаемая прибыль от этой деятельности может достигать 100 000 долларов США в день. ^[10]^[11] мошеннические клики обходятся рекламодателям в 900 000 долларов в день. ^[12] Обычно ZeroAccess заражает главную загрузочную запись (MBR) зараженной машины. Альтернативно он может заразить случайный драйвер в C:\Windows\System32\Drivers, предоставив ему полный контроль над операционной системой . ^{[ нужна ссылка ]} Он также отключает Центр безопасности Windows, Брандмауэр и Защитника Windows в операционной системе. ZeroAccess также подключается к стеку TCP/IP, чтобы помочь в борьбе с мошенничеством с кликами.

Программное обеспечение также ищет вредоносное ПО Tidserv и удаляет его, если обнаруживает. ^[1]

См. также

Ссылки

^ Jump up to: ^а ^б «Обнаружен риск» . www.broadcom.com .
^ «Ежемесячная статистика вредоносного ПО, май 2011 г.» . Securelist.com .
^ Уайк, Джеймс (19 сентября 2012 г.). «Более 9 миллионов компьютеров заражены – обнаружен ботнет ZeroAccess» . Софос . Проверено 27 декабря 2012 г.
^ Джексон Хиггинс, Келли (30 октября 2012 г.). «Рост ботнетов ZeroAccess» . Мрачное чтение . Архивировано из оригинала 3 декабря 2012 года . Проверено 27 декабря 2012 г.
^ Кумар, Мохит (19 сентября 2012 г.). «9 миллионов компьютеров заражены ботнетом ZeroAccess» . Хакерские новости . Проверено 27 декабря 2012 г.
^ Уайк, Джеймс (4 апреля 2012 г.). «Руткит ZeroAccess» . Софос . п. 2 . Проверено 27 декабря 2012 г.
^ Мимосо, Майкл (30 октября 2012 г.). «Ботнет ZeroAccess зарабатывает на мошенничестве с кликами и майнинге биткойнов» . ThreatPost . Архивировано из оригинала 3 декабря 2012 года . Проверено 27 декабря 2012 г.
^ Галлахер, Шон (6 декабря 2013 г.). «Microsoft разрушает ботнет, который приносил операторам 2,7 миллиона долларов в месяц» . Арс Техника . Проверено 9 декабря 2013 г.
^ Уайк, Джеймс. «Ботнет ZeroAccess: майнинг и мошенничество для получения огромной финансовой выгоды» (PDF) . Софос . стр. (стр. 45) . Проверено 27 декабря 2012 г.
^ Лейден, Джон (24 сентября 2012 г.). «Мошенники могут выжать «100 тысяч долларов в день» из миллионной армии зомби ZeroAccess» . Регистр . Проверено 27 декабря 2012 г.
^ Рэган, Стив (31 октября 2012 г.). «Миллионы домашних сетей заражены ботнетом ZeroAccess» . Неделя Безопасности . Проверено 27 декабря 2012 г.
^ Данн, Джон Э. (2 ноября 2012 г.). «Бот ZeroAccess заразил 2 миллиона потребителей, подсчитали в компании» . Техмир . Проверено 27 декабря 2012 г.

Внешние ссылки

Анализ ботнета ZeroAccess , созданного компанией Sophos .
Ботнет ZeroAccess , Лаборатория безопасности Kindsight.
Новый протокол управления и контроля для ZeroAccess ^{[ постоянная мертвая ссылка ]}, Лаборатории безопасности Kindsight.

[auto-1] Jump up to: ^а ^б «Обнаружен риск» . www.broadcom.com .

[2] «Ежемесячная статистика вредоносного ПО, май 2011 г.» . Securelist.com .

[SophosUncovered-3] Уайк, Джеймс (19 сентября 2012 г.). «Более 9 миллионов компьютеров заражены – обнаружен ботнет ZeroAccess» . Софос . Проверено 27 декабря 2012 г.

[DarkReading-4] Джексон Хиггинс, Келли (30 октября 2012 г.). «Рост ботнетов ZeroAccess» . Мрачное чтение . Архивировано из оригинала 3 декабря 2012 года . Проверено 27 декабря 2012 г.

[thehackernews-5] Кумар, Мохит (19 сентября 2012 г.). «9 миллионов компьютеров заражены ботнетом ZeroAccess» . Хакерские новости . Проверено 27 декабря 2012 г.

[6] Уайк, Джеймс (4 апреля 2012 г.). «Руткит ZeroAccess» . Софос . п. 2 . Проверено 27 декабря 2012 г.

[ThreatPost-7] Мимосо, Майкл (30 октября 2012 г.). «Ботнет ZeroAccess зарабатывает на мошенничестве с кликами и майнинге биткойнов» . ThreatPost . Архивировано из оригинала 3 декабря 2012 года . Проверено 27 декабря 2012 г.

[Gallagher-8] Галлахер, Шон (6 декабря 2013 г.). «Microsoft разрушает ботнет, который приносил операторам 2,7 миллиона долларов в месяц» . Арс Техника . Проверено 9 декабря 2013 г.

[SophosMassiveGain-9] Уайк, Джеймс. «Ботнет ZeroAccess: майнинг и мошенничество для получения огромной финансовой выгоды» (PDF) . Софос . стр. (стр. 45) . Проверено 27 декабря 2012 г.

[TheRegister-10] Лейден, Джон (24 сентября 2012 г.). «Мошенники могут выжать «100 тысяч долларов в день» из миллионной армии зомби ZeroAccess» . Регистр . Проверено 27 декабря 2012 г.

[SecutiryWeek-11] Рэган, Стив (31 октября 2012 г.). «Миллионы домашних сетей заражены ботнетом ZeroAccess» . Неделя Безопасности . Проверено 27 декабря 2012 г.

[Techworld-12] Данн, Джон Э. (2 ноября 2012 г.). «Бот ZeroAccess заразил 2 миллиона потребителей, подсчитали в компании» . Техмир . Проверено 27 декабря 2012 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

v т и Ботнеты
Notable botnets	3ve Akbot Asprox Bagle BASHLITE Bredolab Cutwail Conficker Donbot Festi Grum Gumblar Kelihos Koobface Kraken Lethic Mariposa Mega-D Mirai Metulji Nitol Rustock Sality Slenfbot Srizbi Storm TDL-4 Torpig Virut Vulcanbot Waledac ZeroAccess Zeus
Main articles	Browser security Computer virus Computer worm Malbot Internet security Malware Man-in-the-browser Network security Operation: Bot Roast Trojan horse