То, что программы-боты превращают зараженные машины в «зомби», уводя компьютеры из-под контроля владельцев и передавая под контроль злоумышленников, уже давно трактуется как одна из наиболее пугающих деталей в работе вредоносного ПО. Потому что тайные владельцы из преступного мира в принципе располагают всеми возможностями для полной ликвидации сети, отдав ботам команду на самоуничтожение вместе с приютившей их компьютерной системой.

Но хотя о возможностях таких известно уже давно, большинство экспертов обычно расценивают подобную угрозу как сугубо теоретическую. Ибо ликвидация захваченных ботнетом систем выглядит для атакующей стороны как-то слишком уж нелогично и контрпродуктивно.

Но как бы там ни было, логично или не очень, однако в реальной жизни подобные акты массового самоуничтожения ботнетов действительно случаются. И сравнительно недавно одно из таких «теоретически маловероятных» происшествий имел | возможность воочию наблюдать Роман Хюсси (Roman Hussy), молодой швейцарский специалист по компьютерной безопасности, автор и постоянный ведущий известного в профессиональных кругах вебсайта ZeusTracker (zeustracker.abuse.ch).

Хюсси и его сайт получили известность благодаря тому, что ZeusTracker на регулярной основе отслеживает длиннющий список серверов, использующих криминальный хакерский набор Zeus. To есть программный инструментарий, в разной комплектации продаваемый на черном рынке за сумму от 700 до 4000 долларов и используемый для построения ботнетов, заражающих компьютер троянцем для похищения паролей и прочей ценной информации, Одна из отличительных особенностей Zeus — это способности к полиморфизму, благодаря которым каждый конкретный вариант бота, установленного на компьютере-жертве, заметно отличается от собратьев, установленных в других машинах. Эта особенность существенно затрудняет обнаружение инфекции антивирусными средствами.

Среди множества возможностей Zeus имеется команда «kos», означающая kill operating system, то есть «убить операционную систему". Файл помощи, распространяемый в комплекте с набором Zeus, содержит примерно такое пояснение к работе данной функции: «kos — вывести из строя ОС, а именно уничтожить ветви реестра HKEY_CURRENT_USER и/ или HKEY_LOCAL_MACHINE». После того как уничтожение завершено, бот начинает полное обнуление виртуальной памяти системы. Как показывают эксперименты, в результате отдачи такой команды исследователями в лабораторных условиях наиболее вероятным итогом становится B.S.O.D, то есть «синий экран смерти» системы. Аналогичные по назначению команды имеются и в других ботнетах, однако kos из арсенала Zeus расценивается как одна из наиболее тяжелых по своим разрушительным последствиям.

В апреле этого года Роман Хюсси начал отслеживать работу одного из центров управления Zeus, получавшего данные, похищаемые с более чем ста тысяч инфицированных систем, расположенных главным образом в Польше и Испании, В процессе наблюдения за этим недавно обнаруженным С&С, Хюсси отметил нечто совершенно небывалое: для всех зараженных машин зомби-сети вдруг прошла команда «убить ОС». По свидетельству наблюдателя, у него нет ни малейшего понятия, по какой причине ботнет столь неожиданно был разрушен самими хозяевами.

Гипотез на этот счет было выдвинуто сколько угодно. Сам Хюсси полагает, что, быть может, данный ботнет захватила другая преступная группа и в результате зараженные компьютеры стали жертвой междоусобных разборок. С другой стороны, многие кибер-преступники, использующие удобный набор Zeus, не слишком опытны во всех этих хакерских хитростях, и может быть так, что люди, контролировавшие работу данной сети, просто не очень хорошо понимали, что делают. Наконец, одна из правдоподобных версий произошедшего предполагает, что злоумышленники, возможно, избрали столь радикальный вариант команды с той целью, чтобы обеспечить себе побольше времени для реализации похищенного и заметания следов.

Конкретно в данном случае ни Хюсси, ни его сайт ZeusTracker ничем не могли помочь владельцам пострадавших от «убийства» машин. Во множестве же других случаев постоянно обновляемые списки ZeusTracker оказываются весьма серьезным подспорьем при «лечении» скомпрометированных серверов и в борьбе с криминальными ботнетами.

Однако, как постоянно подчеркивают все эксперты по компьютерной безопасности, самое эффективное сопротивление росту зомби-сетей могут и должны оказывать сами владельцы машин — внимательно следя за обновлениями используемых программ, регулярно сканируя систему на предмет известных инфекций и просто соблюдая элементарные меры «сетевой гигиены» при подключении к Интернету. ■