Исследователи Dell Secure Works обнаружили, что известный ботнет ZeroAccess возобновил вредоносную деятельность. Об этом они сообщили в своем блоге. Несмотря на операцию, предпринятую в декабре 2013 г. правоохранительными органами, ZeroAccess вновь осуществляет похищение кликов с помощью сети скомпрометированных компьютеров.
ZeroAccess также известен как Sirefef. В 2012 г. с его помощью злоумышленникам удавалось зарабатывать более $100 тыс. в день. Отдел по противодействию киберугрозам (Counter Threat Unit, CTU) SecureWorks наблюдал за деятельностью ботнета с 21 марта по 2 июля 2014 г. По данным специалистов, ZeroAccess “возродился” примерно в январе, начав распространять темплейты похищения кликов между скомпрометированными компьютерами.
В CTU указывают, что киберпреступники не расширяют ботнет и не инфицируют новые компьютеры после его отключения в декабре 2013 г. В настоящее время ZeroAccess состоит из “выживших” инфицированных систем, в связи с чем размер ботнета значительно уменьшился по сравнению с его предыдущим воплощением.
ZeroAccess разбит на два ботнета, использующих разные UDP-порты: 16464/16471 – для скомпрометированных систем под управлением 32-битных версий Windows и 16465/16470 – для 64-битных. По данным SecureWorks, с 17 по 25 января нынешнего года было обнаружено 55208 уникальных IP-адресов, участвующих в деятельности ботнета: 38094 использовали 32-битную версию ботнета, а еще 17114 – 64-битную. (Dell/NovostIT)
