На днях корпорация Microsoft отчиталась о нейтрализации двух ботнетов из обширной «семьи», насчитывающей, по некоторым оценкам, до нескольких сотен вредоносных сетей. Ещё в прошлом году стало понятно, что усилия Microsoft по искоренению ботнетов приносят плоды: Waledac, Kelihos и Rustock — сети, генерившие весьма приличные объёмы спама во всём мире, — стали историей. Каких, однако, последствий действительно стоит ждать? «Компьютерра» обратилась за комментариями к российским антивирусным вендорам.
Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского»:
— Поскольку Microsoft заявляет о перехвате 800 доменов, безусловно, ущерб, нанесённый киберпреступникам, должен быть достаточно ощутимым. Одна лишь суммарная годовая стоимость этих доменов должна исчисляться в тысячах долларов, не говоря о стоимости аренды оборудования для нескольких серверов.
Однако это далеко не все ботнеты, и впереди ещё долгий путь. Так, по сведениям ресурса abuse.ch, в интернете зарегистрирован 801 сервер командных центров на основе Zeus, 333 из которых находятся в режиме онлайн. Есть ещё Ice-IX и SpyEye, похожие по функционалу и предназначению. По данным того же ресурса abuse.ch, сейчас в Сети 175 онлайн SpyEye серверов из 483 зарегистрированных.
Наиболее эффективным в борьбе с ботнетами является поиск и арест авторов, разрабатывающих ПО для построения ботнетов, а также распространителей такого ПО. Перехват управления над конкретными центрами управления ботнетов не остановит рост количества этих зомби-сетей, но поможет его немного сдерживать.
То, что сделали в Microsoft, безусловно, правильно, это хороший пример для других компаний. Вместе мы можем противостоять организованной киберпреступности.
Игорь Здобнов, ведущий вирусный аналитик компании «Доктор Веб», даёт менее радужную картину. Удастся ли полностью извести ботнеты Zeus?
— Я думаю, нет, особенно в свете того, что Zeus переключился на p2p-схему. Новым zeus’ам больше не нужен единый командный сервер, так как любой бот может выступать сервером, с которого могут качаться конфигурации.
Остаётся добавить, что отдельные язвительные комментаторы на блогах «Компьютерры» уже заявили, что, дескать, Microsoft просто «исправляет свои собственные ошибки». Правда в том, что у Microsoft действительно есть самый непосредственный интерес в том, чтобы прибить максимальное количество ботнетов, поскольку подавляющее большинство компьютеров-зомби — это машины под управлением Windows. Вопрос, однако, в пользователях. Опять-таки большинство заражённых машин работают под старой, доброй, возможно, ни разу не пропатченной Windows XP. Сколько Microsoft ни пытается от неё избавиться, всё тщетно: «Опять обновляться? Зачем эта гонка?» Ботнет Rustock заражал исключительно машины под Windows XP. Причиной являются не только (а может, и не столько) объективные недостатки операционной системы, сколько нежелание, подчас даже агрессивное нежелание пользователей заботиться о собственной безопасности. За Windows XP, и всё! Не исключено, что если бы самой популярной в мире операционной системой была не Windows, а какая-то другая, злоумышленники нашли бы и там достаточное количество «точек проникновения».