Ботнет ZeroAccess - ZeroAccess botnet

ZeroAccess это троянский конь компьютер вредоносное ПО это влияет Майкрософт Виндоус операционные системы. Он используется для загрузки других вредоносных программ на зараженную машину с ботнет оставаясь скрытым, используя руткит техники.[1]

История и распространение

Ботнет ZeroAccess был обнаружен примерно в мае 2011 года.[2] ZeroAccess руткит ответственный за распространение ботнета, по оценкам, присутствовал как минимум на 9 миллионах систем.[3] Оценки размера ботнета различаются по источникам; поставщик антивируса Sophos оценил размер ботнета примерно в 1 миллион активных и зараженных машин в третьем квартале 2012 года, а компания по безопасности Kindsight оценила 2,2 миллиона зараженных и активных систем.[4][5]

Сам бот распространяется через ZeroAccess руткит с помощью множества векторов атаки. Один вектор атаки - это форма социальная инженерия, когда пользователя убеждают выполнить вредоносный код, либо замаскировав его под законный файл, либо включив его в качестве дополнительной полезной нагрузки в исполняемый файл, который объявляет себя, например, как обход защиты авторских прав ( кейген ). Второй вектор атаки использует рекламная сеть чтобы пользователь щелкнул по рекламе, перенаправляющей его на сайт, на котором размещено само вредоносное ПО. Третий используемый вектор заражения - это партнерская схема, при которой сторонним лицам платят за установку руткита в системе.[6][7]

В декабре 2013 года коалиция во главе с Microsoft предприняла попытку уничтожить сеть управления ботнетом. Однако атака была неэффективной, потому что не все C&C были захвачены, а ее компонент однорангового управления и контроля не был затронут, то есть ботнет все еще мог обновляться по желанию.[8]

Операция

После заражения системы руткитом ZeroAccess она запускает одну из двух основных операций ботнета: биткойн майнинг или же мошенничество с кликами. Машины, участвующие в майнинге биткойнов, генерируют биткойны для их контролера, оценочная стоимость которого составляла 2,7 миллиона долларов США в год в сентябре 2012 года.[9] Машины, используемые для мошенничества с кликами, имитируют клики по рекламе на веб-сайтах, оплаченные платить за клик основание. Ориентировочная прибыль от этой деятельности может достигать 100 000 долларов США в день,[10][11] обойдется рекламодателям в 900 000 долларов в день за счет мошеннических кликов.[12] Обычно ZeroAccess заражает Главная загрузочная запись (MBR) зараженной машины. В качестве альтернативы он может заразить случайный драйвер в C: Windows System32 Drivers, дав ему полный контроль над Операционная система.[нужна цитата ] Он также отключает Центр безопасности Windows, Брандмауэр и Защитник Windows из операционной системы. ZeroAccess также подключается к TCP / IP стек, чтобы помочь с мошенничеством с кликами.

Программа также ищет вредоносное ПО Tidserv и удаляет его, если находит.[1]

Смотрите также

Рекомендации

  1. ^ а б «Риск обнаружен». www.broadcom.com.
  2. ^ «Ежемесячная статистика вредоносных программ, май 2011 г.». securelist.com.
  3. ^ Вайк, Джеймс (19 сентября 2012 г.). «Заражено более 9 миллионов компьютеров - обнаружен ботнет ZeroAccess». Sophos. Получено 27 декабря 2012.
  4. ^ Джексон Хиггинс, Келли (30 октября 2012 г.). "Всплеск ботнета ZeroAccess". Темное чтение. Архивировано из оригинал 3 декабря 2012 г.. Получено 27 декабря 2012.
  5. ^ Кумар, Мохит (19 сентября 2012 г.). «9 миллионов ПК заражены ботнетом ZeroAccess». Хакерские новости. Получено 27 декабря 2012.
  6. ^ Вайк, Джеймс. «Руткит ZeroAccess». Sophos. п. 2. Получено 27 декабря 2012.
  7. ^ Мимозо, Майкл (30 октября 2012 г.). «Ботнет ZeroAccess зарабатывает на мошенничестве с кликами и майнинге биткойнов». ThreatPost. Архивировано из оригинал 3 декабря 2012 г.. Получено 27 декабря 2012.
  8. ^ Галлахер, Шон (6 декабря 2013 г.). «Microsoft разрушает ботнет, который приносил операторам 2,7 миллиона долларов в месяц». Ars Technica. Получено 9 декабря 2013.
  9. ^ Вайк, Джеймс. «Ботнет ZeroAccess: добыча полезных ископаемых и мошенничество для получения огромной финансовой выгоды» (PDF). Sophos. стр. (стр.45). Получено 27 декабря 2012.
  10. ^ Лейден, Джон (24 сентября 2012 г.). «Мошенники могут доить« 100 тысяч долларов в день »из армии ZeroAccess, насчитывающей 1 миллион зомби». Реестр. Получено 27 декабря 2012.
  11. ^ Рэган, Стив (31 октября 2012 г.). «Миллионы домашних сетей заражены ботнетом ZeroAccess». SecurityWeek. Получено 27 декабря 2012.
  12. ^ Данн, Джон Э. (2 ноября 2012 г.). «Бот ZeroAccess заразил 2 миллиона потребителей, - подсчитала компания». Techworld. Получено 27 декабря 2012.

внешняя ссылка