Зонд для ботнета включит 70G байт личных, финансовых данных

Исследователи из Калифорнийского университета получили контроль над известной и мощной сетью взломанных компьютеров в течение 10 дней, узнав, как он крадет личные и финансовые данные.

Ботнет, известный как Torpig или Sinowal, является одной из наиболее сложных сетей, в которых жесткое обнаружение вредоносного ПО для заражения компьютеров и последующего сбора данных, таких как пароли электронной почты и учетные данные онлайн-банкинга.

Исследователи смогли контролировать более 180 000 взломанных компьютеров, используя слабость в сети управления и управления, используемую хакерами для управления компьютерами. Однако он работал только 10 дней, пока хакеры не обновили инструкции по управлению и контролю, согласно 13-страничному документу исследователей.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Тем не менее, этого было достаточно окна, чтобы увидеть мощность сбора данных Torpig / Sinowal. За это короткое время из взломанных компьютеров было собрано около 70 Гбайт данных.

Исследователи хранили данные и работают с правоохранительными органами, такими как Федеральное бюро расследований США, интернет-провайдеры и даже Министерство обороны США, чтобы уведомить жертвы. Интернет-провайдеры также закрыли некоторые веб-сайты, которые были использованы для предоставления новых команд взломанным машинам, они писали.

Torpig / Sinowal может уничтожать имена пользователей и пароли от почтовых клиентов, таких как Outlook, Thunderbird и Eudora, а также собирать адреса электронной почты в этих программах для использования спамерами. Он также может собирать пароли из веб-браузеров.

Torpig / Sinowal может заражать ПК, если компьютер посещает вредоносный веб-сайт, предназначенный для проверки того, есть ли у компьютера незагруженное программное обеспечение, метод, известный как атака при загрузке. Если компьютер уязвим, низкоуровневая часть вредоносного программного обеспечения, называемая руткитом, глубоко проникла в систему.

Исследователи обнаружили, что Torpig / Sinowal попадает в систему после того, как он впервые заражен Mebroot, руткитом который появился около декабря 2007 года.

Mebroot заражает главную загрузочную запись компьютера (MBR), первый код, который компьютер ищет при загрузке операционной системы после запуска BIOS. Mebroot является мощным, так как любые данные, выходящие из компьютера, могут быть перехвачены.

Mebroot также может загрузить на компьютер другой код.

Torpig / Sinowal настроен для захвата данных, когда человек посещает определенные онлайн-банкинг и другие веб-сайты. В документе говорится, что он отвечает на более чем 300 веб-сайтов, причем основными целевыми являются PayPal, Poste Italiane, Capital One, E-Trade и Chase bank.

Если человек отправляется на банковский веб-сайт, выдается фальсифицированная форма, которая, как представляется, является частью законного сайта, но запрашивает ряд данных, которые обычно не запрашивал банк, например, PIN-код (персональный идентификационный номер) или номер кредитной карты.

Использование веб-сайтов Шифрование SSL (Secure Sockets Layer) небезопасно, если используется ПК с Torpig / Sinowal, так как вредоносное программное обеспечение будет захватывать информацию до того, как оно будет зашифровано, пишет исследователи.

Хакеры обычно продают пароли и банковскую информацию на подпольных форумах других преступников, которые пытаются скрыть данные в наличные деньги. Хотя трудно точно оценить стоимость информации, собранной за 10 дней, она может стоить от 83 000 до 8,3 млн. Долл. США, говорится в исследовании.

Есть способы сорвать бот-сети, такие как Torpig / Sinowal. Код ботнета включает в себя алгоритм, который генерирует имена доменов, которые вредоносная программа запрашивает для новых инструкций.

Инженеры по безопасности часто могли найти эти алгоритмы для прогнозирования того, к каким доменам будет обращаться вредоносное ПО, и предварительно зарегистрировать эти домены, чтобы нарушить ботнет. Однако это дорогостоящий процесс. Например, червь Conficker может генерировать до 50 000 доменных имен в день.

Исследователи писали, что регистраторы, компании, которые продают регистрацию доменных имен, должны играть более активную роль в сотрудничестве с сообществом безопасности. Но у регистраторов есть свои проблемы.

«За некоторыми исключениями у них часто не хватает ресурсов, стимулов или культуры для решения проблем безопасности, связанных с их ролями», - говорится в документе.