Как Microsoft борется с ботнетами

Пользователь из китайского города Шеньчжень достал из коробки абсолютно новый ноутбук и включил его в первый раз. Как только засветился экран, компьютер стал жить своей собственной жизнью. Поскольку на жестком диске находился вирус, машина начала искать другой компьютер в сети.

Ноутбук, предположительно изначально, прямо с фабрики, немедленно стал частью глобальной сети, способной атаковать вебсайты, грабить банковские счета и воровать личные данные других пользователей.

В течение многих лет, онлайн исследователи предупреждали пользователей об опасности закачки и открытия файлов электронной почты, полученных из неизвестных или подозрительных источников. Сейчас они говорят, что вредоносное программное обеспечение (ПО) могло находиться в компьютере ещё до того, как наивный потребитель снимет пузырчатую пленку с устройства.

Активное противодействие Microsoft

Вышеупомянутый китаец входил в команду исследователей из Microsoft, которая расследовала продажу зараженного ПО в Китае. Команда обнаружила вредоносное ПО под названием Nitol. В четверг, этот случай был описан в судебных документах в американском суде в Виржинии. Существующие документы отражают начало кампании против киберпреступности, проводимой Microsoft, производителем операционных систем, которые являются основной целью вирусов.

Документы являются частью судебного иска о компьютерном мошенничестве против домена, зарегистрированного на китайского бизнесмена Пен Юна. Компания утверждает, что этот домен является фокальной точкой незаконной интернет активности. Этот домен – это основная база для сети Nitol и ещё более чем 500 других видов злонамеренного софта, что делает его наибольшим хранилищем инфицированного программного обеспечения, с которым когда-либо сталкивалась Microsoft.

Мистер Пен, владелец интернет ресурса, говорит, что он не знал об иске Microsoft и отказывается от голословных обвинений, объясняя это тем, что его компания не имеет ни какого отношения к названному домену - 3322.org. В иске Microsoft также фигурируют ещё три неустановленных лица, имеющих отношение к созданию и управлению сетью Nitol.

Кибератаки на производителей

Из материалов суда и интервью с представителями Microsoft постает тревожная картина: интернет пользователи могут заражаться вирусами в частности из-за слабого контроля на стадии аппаратной сборки. Для увеличения собственной прибыли, некоторые производители компьютеров и ретейлеры могут использовать контрафактные копии популярных продуктов для обеспечения меньшей стоимости изделий. Латание дыр становится почти невозможным, особенно на слабо регулируемых рынках, как в Китае, и это создает дополнительные возможности для киберпреступников.

“Они, в действительности, изменяют способы для атаки на потребителей”, говорит Ричард Боскович, в прошлом американский правительственный прокурор, а ныне старший юрист подразделения Microsoft по борьбе с киберпреступностью.

И расстояние не сулит безопасности. Вирус Nitol, например, обнаружен на компьютерах в Китае, Соединенных Штатах, России, Австралии и Германии. Компания Microsoft обнаружила даже на Каймановых островах компьютеры, зараженные этим вирусом. Все эти инфицированные компьютеры становятся частью ботнета – скоплением зараженных машин, которые являются одним из наиболее агрессивных и постоянных инструментов киберпреступности.

Инфекция достигла пиковых значений, так утверждает Патрик Стрейттон, сотрудник Microsoft , готовивший материалы для суда по поводу сети Nitol и его связи с сайтом 3322.org.

Вынужденная необходимость

Для Microsoft, борьба с киберпреступностью является вынужденной необходимостью. Её операционные системы Windows управляют большинством компьютеров, подключенных к интернету. Жертвы компьютерных вирусов, вероятно, могут считать, что проблема в самой операционной системе, а не в злонамеренном программном обеспечении. Это наносит урон, как самому бренду компании, так и её репутации.

Речь уже идет не столько об имидже Microsoft, сколько о скорости распространения злонамеренного софта через контрафактную продукцию, говорит мистер Боскович. “Сейчас, это уже больше чем обычная проблема интеллектуальной собственности”, говорит он. “Это уже стало проблемой безопасности”.

Отдел по борьбе с киберпреступностью Microsoft начал расследование в августе прошлого года. Целью расследования было изучение вопросов продажи и распространения поддельных копий Windows. Сотрудники Microsoft в Китае купили у ретейлеров 20 новых компьютеров и подключили их к интернету.

На всех машинах были установлены контрафактные версии Windows, и на четырех содержался установленный вредоносный код. Один компьютер, зараженный Nitol, вызывал особое беспокойство – он был активен.

“Как только, мы включили этот компьютер, он самостоятельно, без каких-либо команд от нас пытался приконнектиться к неизвестному нам компьютеру”, сообщает в материалах суда мистер Стрейттон.

Стрейттон с коллегами также обнаружили, что вирус Nitol обладает повышенной способностью к инфицированию. Они вставили флешку в компьютер, вирус моментально скопировал себя на ней. Когда эту флешку вставили в другую машину, Nitol быстро воспроизвел себя на ней.

Враг обнаружен

Сотрудники Microsoft обнаружили тысячи штаммов вируса Nitol, которые измеют несколько вариантов, и все они имеют отношение к домену 3322.org.  “Короче говоря, 3322.org является основным сетевым концентратором незаконной интернет активности, используемый мошенниками ежеминутно в течении суток, чтобы закачивать вредоносное ПО и команды на компьютеры невиновных людей по всему миру”, говорится в исковом заявлении Microsoft.

Мистер Пен, зарегистрированный владелец 3322.org, говорит, что он – сторонник “решительного неприятия” незаконного использования доменных имен, и сотрудничал с китайскими правоохранителями всякий раз, когда возникали жалобы. Еще он добавил, что огромная клиентская база может затруднить контроль.

“Наша политика недвусмысленно выступает против использования любого из наших доменных имен в злонамеренных целях”, сказал мистер Пенг в частном чате на портале Sina Weibo, популярном в Китае сервисе типа социальной сети Twitter. “У нас сейчас 2.85 миллиона доменных имен, и мы не можем исключить, что отдельные пользователи могут использовать доменные имена в злонамеренных целях”.

Мистер Боскович утверждает, что предыдущие предупреждения от фирм, занимающихся сетевой безопасностью, были проигнорированы Пеном. Так по данным Zscaler, фирмы из Сан-Хосе, занимающейся компьютерной безопасностью, домен 3322.org имел отношение к 17% всех вирусов, обнаруженных в мировой паутине в 2009 году. Годом ранее, российская компания Kaspersky Lab сообщала о 40% всех вредоносных программ, так или иначе связанных с 3322.org.

Судья окружного суда Джеральд Брюс Ли, ведущий дело, дал добро Microsoft на очистку интернет трафика, инфицированного Nitol и другого вредоносного ПО с 3322.org. Таким образом, Microsoft может помочь пользователям инфицированных машин обновить антивирусную защиту и удалить вирус Nitol.

После решения суда, по данным Microsoft, доступ к сайту 3322.org был заблокирован для 37 миллионов машин.