Ботнет Kraken догоняет Stormbot

По оценке компании Damballa, ботнет Kraken, первоначально названный исследователями «Mayday» («SOS») за многообещающий потенциал, в настоящее время насчитывает свыше 400000 инфицированных машин и к середине апреля пополнит свои ряды еще 200000 жертвами.

Специалисты Damballa впервые зафиксировали результаты деятельности операторов нового ботнета еще в конце 2006 года, но с уверенностью установить его уникальность смогли только в этом году. Долгое время исследователи не исключали возможность, что он является одним из сегментов «штормового» ботнета. Последний, по их предположениям, в настоящее время объединяет около 200000 зомби-компьютеров (по другим оценкам – 85000).

Метод инфицирования, применяемый операторами ботнета Kraken, до конца не выяснен. Предполагается, что заражение происходит при открытии вложения в спамовое письмо, замаскированного под файл изображения (с такими расширениями, как «.jpeg» или «.png»). Вместо указанного изображения на машину жертвы загружается исполняемый файл, классифицируемый в «Лаборатории Касперского» как Virus.DOS.I13.Kraken и Virus.Unix.Kraken. В настоящее время он детектируется только 20% антивирусных программ.

По данным исследователей, создатели Kraken предусмотрели возможность изменения структуры кода, что затрудняет работу статических анализаторов и детекторов сигнатур. После активации вредоносная программа копирует себя на жесткий диск компьютера жертвы в несколько измененном формате – на случай обнаружения оригинала антивирусными средствами. В качестве дополнительной меры защиты резидентная программа периодически обращается к командному серверу за обновлениями. Эксперты Damballa отмечают большое количество вариантов Kraken и высокую скорость их обновления.

Внутренний трафик ботнета шифруется, для передачи управляющих команд используется специальный протокол, работающий поверх UDP и TCP. При выходе из строя командного сервера его функции автоматически переносятся на другой узел внутри ботнета в соответствии с жестко заданным алгоритмом. По данным Damballa, основные командные серверы Kraken находятся на территории Франции, России и США. В настоящее время в состав данного ботнета входят не менее 50 компьютеров, принадлежащих компаниям из списка «Fortune 500», сети которых оборудованы новейшими антивирусными средствами.

Основной деятельностью операторов ботнета Kraken пока является рассылка спам-рекламы займов и ссуд на выгодных условиях, медицинских препаратов для сильной половины интернет-сообщества, поддельных часов и онлайн-казино. Специалисты Damballa отмечают высокую производительность используемых ботнетом программ для рассылки спама, которая может составлять 500000 писем в сутки. Однако они не исключают возможность использования ботнета для выполнения и других криминальных задач.

searchsecurity.techtarget.com ​

 

Всегда поражали масштабы ботнетов, особенно подобных размеров как в данном случае. Самое главное самому не стать его частью

 

Почему-же, я бы посмотрел на ПО которое раскрутила его до таких масштабов )

 

я думаю это только верхушка айсебрга...
Истинные размеры намного больше ИМХО...

 

о00о
я тут не причем......
а как они узнали количество?раз вычислить его не могут и все это просто предположения

 

И создателей не плохо бы было лицезреть...

 

Зачем те создатели? Будешь выпрашивать их рассказать как они это зделали? Вот на ПО я бы посморел....

 

+1
Очень интересно посмотреть на то как всеми этими зомби управляют

молодцы что шифруют трафик .. давно надо было

 

Управляют с помощью выделенного сервера, и скорее всего он у них не один, т.к. получится DDoS ещё тот.

 

В продолжении новости...

Из России ведется командование крупнейшей в мире зомби-сетью под названием Kraken, уверены эксперты.Вирус, посредством которого расширяется ботнет, имеет возможность самообновления, поэтому, как полагают эксперты из Damballa, возможно, бот-сеть будет использоваться не только для рассылки спама.

(с)СNews.ru​

 

Позаимствовали этот вредный сервис автоапдейта у мокросовта? Да, разработчикам вредоносного программного обеспечения уже давно пора учиться друг у друга

 

Нда...
Вот наверное серваки гнутся когда идёт обновление.

 

Для тех кто знает английский - интересная статья на тему кракена
http://blog.washingtonpost.com/securityfix/2008/04/kraken_creates_a_clash_of_the.html
Дамбалла хочет наделать себе побольше клиентов?))))