Правоохранительные органы во всем мире обезвредили множество долговременных ботнетов, основанных на семействе вредоносных программ, называемой Gamarue, обнаруженных, главным образом, компанией ESET под именем Win32/TrojanDownloader.Wauchos, другое название – Andromeda. Это стало итогом продолжавшейся более года совместной работы, опиравшейся на данные технической разведки, добытые исследователями компаний Microsoft и ESET. ESET, к которой обратилась Microsoft для совместной работы по обезвреживанию этих сетей, предоставила технический анализ операции, которая, в конечном счете, и вывела из строя ботнет Wauchos. Исследователи ESET внимательно отслеживали ботнеты, идентифицировали их командные серверы для ликвидации и присматривали за тем, какие вредоносные программы устанавливаются на атакуемые системы. Затем Microsoft передала правоохранительными органам информацию, которая включала: 464 отдельных ботнета, 80 ассоциированных семейств вредоносных программ, 1 214 доменов и IP-адресов командных серверов ботнета.
Wauchos: глобальное бедствие
Ботнет Wauchos распространяется, как минимум, с сентября 2011 года, появившись за последние годы в пяти основных версиях. Первоначально этот ботнет был ограничен темными уголками Интернета в виде комплекта для преступлений, позволяя любому человеку с дурными намерениями купить себе «вещичку».
Карта его распространения, основанная на телеметрии ESET (Рис. 1), демонстрирует глобальное проникновение Wauchos, который создал множество автономных ботнетов в разных частях мира.
Рисунок 1. Карта распространения ботнета Wauchos (Декабрь 2016 г., источник: http://virusradar.com/)
По информации компании Microsoft, заражение обнаруживалось или блокировалось в среднем на около 1,1 миллионе машин в месяц в течение последних шести месяцев.
На протяжении всего периода мониторинга угрозы компания ESET каждый месяц находила десятки командных серверов. Основную часть исследований ESET выполнила в конце прошлого года, а пик активности Wauchos пришелся примерно на то время.
«Wauchos в основном используется для кражи учетных данных, а также для загрузки и установки дополнительных вредоносных программ в систему. Таким образом, если система заражена Wauchos, то вполне вероятно, что эта же система находится под угрозой еще нескольких других вредоносных семейств», – полагает исследователь компании ESET Жан-Ян Бутин.
Вторичная вредоносная программа, которая заражает компьютеры-жертвы после того, как они оказываются подключенными к ботнету, – это, главным образом, Kasidet, которая также известна как бот Neutrino, и используется для проведения распределенных атак типа «отказ в обслуживании» (DDoS); встречаются также спамботы Kelihos и Lethic, которые применяются для кампаний массовой рассылки спама.
Благодаря своей модульности функции Wauchos легко расширяются плагинами. К ним относятся кейлоггер и формграбер, способные захватывать личные данные пользователя, а также руткит, который можно использовать для скрытия присутствия вредоносной программы и, в конечном итоге, обеспечить его постоянное присутствие в зараженной системе.
Поскольку Wauchos покупается и запускается самыми разными киберпреступниками, векторы атак, используемые для распространения этой угрозы, тоже бывают самыми разными. Вредоносная программа чаще всего распространяется через социальные сети, мгновенные сообщения, съемные диски, спам (см. Рис. 2) и эксплойт-паки.
Рисунок 2. Типичный вредоносный спам с прилагаемым образцом Wauchos
Как и в случае с другими вредоносными программами, многие образцы Wauchos, проанализированные ESET, были настроены на проверку раскладки клавиатуры системы. Если установлена русская, украинская, белорусская или казахская раскладка, этот код присутствует, не причиняя никакого вреда. Эта сделано, по-видимому, для того, чтобы в этих странах злоумышленники могли избежать судебного преследования.
За многие годы разведданные, предоставленные компанией ESET, сыграли важную роль в демонтаже целого ряда преступных операций, в том числе ботнетов Dorkbot и Mumblehard, а также fast-flux сети Avalanche, которая использовалась многими другими ботнетами.
Если вы опасаетесь, что ваша система Windows может быть заражена ботнетом Wauchos , но вы не является клиентом компании ESET, вы можете загрузить и воспользоваться приложением ESET’s Free Online Scanner, которое удалит любые угрозы, в том числе Wauchos, которые оно сумеет найти в вашей системе.
Подробный анализ того, как компания ESET помогла обезвредить эти неприятные ботнеты, доступен здесь: ESET принимает участие в глобальной операции по обезвреживанию Gamarue.
Источник: Welivesecurity
