Эксперт по кибербезопасности Браян Кребс (Brian Krebs) представил результаты исследования обезвреженной в прошлом месяце одной из крупнейших бот-сетей, специализирующейся на рассылке спама.
Напомним, что ботнет Grum был признан третьим по величине в мире, и на его долю приходилось почти 20% всего мирового спама. Компьютеры, находящиеся под контролем серверов Grum, рассылали по 18 млрд спам-писем каждый день. По словам исследователей, в спам-рассылке было замечено 130 тыс. скомпрометированных Интернет-адресов.
Однако согласно информации, полученной после обезвреживания контрольных серверов Grum, более 193 тыс. систем были инфицированы одним из трех образцов кода Grum, который превращал скомпрометированный компьютер в «зомби-машину».
По словам Кребса, web-интерфейс, используемый для управления ботнетом, был назван «загрузка системы», а HTML код на сервере содержал сообщение «Spam Service Coded by -= ( Spiderman)». Кроме того, для доступа к управлению сетью инфицированных компьютеров хакеры использовали логин Gera, который также использовался в качестве заголовка сообщений одной из спам-рассылок, а также пароль «a28fe103a93d6705d1ce6720dbeb5779» и хеш пароля «megerasss».
Как отмечает аналитик, на C&C-сервере ботнета хранился список адресов электронной почты, размером в 350 Гб. База данных представляет собой десятки отдельных списков адресов, содержащих от 20 до 60 млн скомпрометированных адресов каждый. По приблизительным подсчетам Кребса в одной из директорий сервера находилось 60 различных списков с общим количеством более 2,3 млрд. адресов.
Источник: SecurityLab
|
