Primenjujući oprobani recept, Microsoft ugasio Kelihos bot mrežu

Vesti, 28.09.2011, 10:21 AM

Koristeći istu taktiku koju je kompanija primenila ranije za gašenje bot mreža Rustock i Waledac, Microsoft je podnošeo zahtev američkom sudu da naloži Verisign-u gašenje 21 domena koji su povezani sa serverima za komandu i kontrolu bot mreže Kelihos.

Kelihos je relativna mala bot mreža koja je tek u nastajanju i koju čini oko 42000-45000 zaraženih zombi računara. Međutim, iako je reč o maloj bot mreži ona je odgovorna za slanje 4 milijarde spam poruka dnevno, čiji je sadržaj različit i uključuje različite vrste internet prevara, dečiju pornografiju, ilegalne lekove i maliciozne programe.

U tehničkom pogledu, Kelihos podseća na bot mrežu Waledac pa stručnjaci misle da ista grupa kriminalaca koja je osmislila Waledac stoji i iza Kelihos bot mreže.

Svi domeni koje je Microsoft ovim potezom ugasio anonimno su registrovani na Bahamima, osim domena cz.cc koji je registrovao Dominik Piati u ime Dotfree Group koja se bavi registrovanjem domena u Češkoj. Nalog za gašenje domena koji je Microsoft izdejstvovao od američkog suda doveo je do gašenja spornih domena već 22. septembra, ali je zbog pravne procedure u Češkoj, domen koji je registrovao Piati postao neaktivan tek u ponedeljak.

Maliciozni sajtovi na cz.cc domenu prethodno su korišćeni za prevaru Mac korisnika kada se na njima nudio lažni antivirusni program Mac Defender.

Stručnjaci za bezbednost kažu da mnoge kompanije koje hostuju poddomene i koje obično nude besplatnu registraciu domena, zapravo potpomažu bezakonje na internetu, otvarajući prostor za različite aktivnosti koje često nisu u skladu sa zakonom. “Ima veoma mnogo zloupotrebe na tim poddomenima,” kaže Roel Šuvenberg iz Kaspersky Laboratorije. “Loši momci biraju najjeftinije i najpouzdanije domene. Neki od vlasnika ovakvih dmena su izuzetno spori u reagovanju na probleme zloupotrebe.”

Tako su u slučaju pomenutog Mac Defendera, prevaranti zloupotrebili Google-ovu pretragu slika i distribuirali svoj zlonamerni proizvod koristeći veliki broj poddomena. Zbog toga pojedini proizvođači antivirusa automatski blokiraju domene kao što su ce.ms, cu.cc, cw.cm, cx.cc, rr.nu, vv.cc, i cz.cc. Google je u junu blokirao veliki broj poddomena zato što su u kompaniji verovali da se oni koriste u kriminalne svrhe. Samo u slučaju jednog provajdera, Google-ovi skeneri su tada identifikovali 50000 malicioznih domena.

Slučaj Kelihos bot mreže razlikuje se od prethodnih sličnih akcija koje je preduzimala Microsoft-ova Jedinica za digitalni kriminal po tome što je ovoga puta, osim gašenja domena, napravljen i korak dalje - imenovana je osoba koja je na neki način odgovorna za funkcionisanje bot mreže. Iz Microsoft-a se nadaju da će ovim biti poslata poruka operaterima bot mreža i hosting provajderima da je kompanija veoma odlučna i ozbiljna kada je reč o tretmanu i sankcionisanju ovakvih kriminalnih aktivnosti. Bez neophodne infrastrukture, kao što je ona koju je omogućila kompanija Dominika Piatija, operateri bot mreža i drugi prevaranti na internetu ne bi mogli da obavljaju svoje kriminalne aktivnosti anonimno kao što to sada čine, kažu u Microsoft-u.