Ботнет ZeroAccess возобновил вредоносную деятельность

Несмотря на операцию правоохранительных органов по отключению ботнета, злоумышленникам удалось его восстановить.

Исследователи Dell Secure Works обнаружили, что известный ботнет ZeroAccess возобновил вредоносную деятельность. Об этом они сообщили в своем блоге. Несмотря на операцию, предпринятую в декабре 2013 года правоохранительными органами, ZeroAccess вновь осуществляет похищение кликов с помощью сети скомпрометированных компьютеров.

ZeroAccess также известен как Sirefef. В 2012 году с его помощью злоумышленникам удавалось зарабатывать более $100 тысяч в день.

Отдел по противодействию киберугрозам (Counter Threat Unit, CTU) SecureWorks наблюдал за деятельностью ботнета с 21 марта по 2 июля 2014 года. По данным специалистов, ZeroAccess "возродился" примерно в январе, начав распространять темплейты похищения кликов между скомпрометированными компьютерами.

В CTU указывают, что киберпреступники не расширяют ботнет и не инфицируют новые компьютеры после его отключения в декабре 2013 года. В настоящее время ZeroAccess состоит из "выживших" инфицированных систем, в связи с чем размер ботнета значительно уменьшился по сравнению с его предыдущим воплощением.

ZeroAccess разбит на два ботнета, использующих разные UDP-порты: 16464/16471 - для скомпрометированных систем под управлением 32-битных версий Windows и 16465/16470 - для 64-битных. По данным SecureWorks, с 17 по 25 января нынешнего года было обнаружено 55208 уникальных IP-адресов, участвующих в деятельности ботнета: 38094 использовали 32-битную версию ботнета, а еще 17114 - 64-битную.