У кампаніі FireEye зафіксавалі цікаўнае супадзенне: на наступны дзень пасля звяржэння Rustock замоўклі камандныя серверы ботнета Harnig.

Як паведамляе "Лабараторыя Касперскага", Harnig, ён жа Piptea, ― PPI-зловред, адзіным прызначэннем якога пасля ўкаранення ў сістэму з'яўляецца загрузка і запуск іншых шкоднасных прыкладанняў. Уладальнікі ботнета, створанага на яго аснове, атрымліваюць вызначаны хабар ад заказчыкаў за кожную паспяховую ўсталёўку. Па сведчанні FireEye, апошнія пару гадоў Harnig і Rustock дэманстравалі вельмі ўстойлівы сімбіёз. Пры гэтым усталёўка Rustock на заражаную машыну ажыццяўлялася ў два этапу: Harnig запампоўваў спецыялізаваны ўсталёўнік заказчыка, а той падгружаў спамбот. Па назіраннях экспертаў, аператары ботнета-спамера вельмі рэдка змянялі партнёра і практычна не выкарысталі альтэрнатыўныя спосабы пашырэння сваіх валадарстваў.

Адключэнне цэнтраў кіравання Rustock адбылося 16 сакавіка. На наступны дзень у FireEye адзначылі, што Harnig правёў загрузку розных шкодных праграм на заражаныя машыны, уключаючы ZeuS і SpyEye. Rustock сярод іх ужо не было. Пасля гэтага ўсё C&C серверы Harnig зараз перасталі абслугоўваць запыты падапечных зомбі-машын (пры звароце выдавалі памылку 404). Наколькі вядома, ніякіх высілкаў па ліквідацыі гэтага ботнета не прадпрымалася. Па дадзеных FireEye, камандныя серверы Harnig размешчаныя ў розных рэгіёнах, хоць 45% з іх знаходзяцца на тэрыторыі Расеі, а 26% ― у ЗША. Адключыць іх зараз няпроста, гэта не Rustock, у якога 95% C&C хосціліся на тэрыторыі адной краіны (ЗША), якая да таго ж мае адэкватную прававую базу і досвед у супрацьстаянні ботоводам.

Тым не менш, суцэль магчыма, што PPI-распаўсюджвальнікі Rustock проста запанікавалі: каму паляванне патрапіць пад раздачу! ― і вырашылі прыпыніць сваю супрацьзаконную дзейнасць, перачакаць, пакуль запал улягуцца. У такім разе Harnig праз кароткі час ізноў ажыве, і не выключана, што адным з яго новых «падарункаў» уладальнікам заражаных машын стане абноўлены Rustock.

рэкамендуем прачытаць таксама

• Ботнет Rustock спыніў рассыланне спаму
• MessageLabs зафіксавала рост спаму ў Сеткі
• Адмыслоўцы TRACElabs назвалі найбуйныя ботнеты
• Правайдэр McColo на кароткі час вярнуўся да працы
• MessageLabs: спамерская актыўнасць у верасні 2009 гады

Каментаванне не дазволенае.