Группа ИТ-компаний в составе "Лаборатории Касперского", CrowdStrike, Dell SecureWorks и Honeynet Project совместными усилиями блокировала вторую версию бот-сети Kelihos, которая стала значительно больше первой, отключенной корпорацией Microsoft и ее партнерами в сентябре 2011 года.

Ботнет Kelihos, также известный как Hlux, является преемником ботнетов Storm и Waledac. Как и предшественники, он имеет пиринговую структуру и используется преимущественно для проведения DDOS-атак. В сентябре 2011 года группа компаний, в составе Microsoft, "Лаборатории Касперского", SurfNet и Kyrus Tech взяла под контроль оригинальный ботнет Kelihos и отключила его управляющую инфраструктуру.

Однако в январе этого года, "Лаборатория Касперского" обнаружила новую версию ботнета, которая имела улучшенную систему коммуникаций, а также встроенную возможность кражи электронной наличности Bitcoin. На прошлой неделе, проанализировав ботнет, обновленная группа экспертов приняла решение о блокировании и нового ботнета.

Как рассказали в "Лаборатории Касперского", отключение ботнетов с децентрализованной инфраструктурой представляет собой более сложную задачу, чем с одним или несколькими управляющими серверами, так как боты-клиенты способны обмениваться информацией друг с другом, инструктируя "соседей" о том, что нужно делать в конкретный момент времени.

Тиллман Вернер, ИТ-специалист компании CrowdStrike, говорит, что для блокировки работы пиринговой системы приходится использовать специальный трюк, вынуждающий инфицированные клиентские компьютеры обращаться к подложному централизованному серверу, находящемуся под управлением антивирусных компаний. Именно в процессе общения с подобным централизованным сервером авторы операции по блокированию Kelihos 2 установили, что в реальности ботсеть значительно больше, чем они полагали. Если на момент отключения первого Kelihos количество активных ботов составляло 40 000, то сейчас оно составляло 110 000.

По оценкам антивирусных компаний, 25% ботов Kelihos 2 расположены на территории Польши, 10% - в США. Высокая концентрация ботов в Польше может указывать на то, что первичная вспышка заражения, а также центр управления также находятся здесь. Распространяли вредоносные коды для набора компьютеров в ботсеть при помощи различных мошеннических операций.

В "Лаборатории Касперского" говорят, что они уже проинформировали интернет-провайдеров, в сетях которых наблюдается высокая активность ботов Kelihos, чтобы те могли связаться со своими клиентами и сообщить им о факте заражения.