Распространенное мнение об особой опасности посещения сайтов с непристойным контентом постепенно утрачивает актуальность. По свидетельству ученых, исследовавших ботнет и изучивших его функциональные возможности, ограничение посещений таких сайтов отныне не является панацеей от заражения компьютеров вредоносными программами.
Как сообщается в технологическом обозрении Массачусетского технологического института, такой вывод сделали исследователи из Калифорнийского университета в Санта-Барбаре под руководством профессора Джованни Вина (Giovanni Vigna), которые на протяжении четырех месяцев производили мониторинг крупного ботнета Mebroot.
Ботнеты – это паразитные сети из компьютеров, скрытно зараженных программой-ботом, позволяющей производить удаленное администрирование. Обычно после инфицирования центр управления дает зараженному компьютеру команду на загрузку других вредоносных программ, работающих в корыстных интересах злоумышленников. Заражение происходит незаметно для пользователя методом "drive-by download" при посещении инфицированного сайта. Ученые выяснили, что обычной схемой киберпреступников, управляющих Mebroot, является перенаправление на такой сайт с модифицированного взломанного ранее официального сайта, передает CNews.
Используя множество методов, преступники инфицировали веб-серверы кодом JavaScript, перенаправляющим посетителей на заранее инфицированные интернет-ресурсы, адреса которых менялись каждый день в целях маскировки. За указанное время ученые обнаружили более 6,5 тыс. веб-сайтов, переадресовавших почти 340 тыс. посетителей на зараженные интернет-ресурсы.
Для генерации изменяющихся доменных имен разработчики Mebroot реализовали три различных алгоритма. Два из них конвертировали в доменное имя данные о текущей дате, третий же был более сложным – он использовал в качестве входных данных определенные символы самого популярного поискового запроса дня на сервисе микроблогов Twitter.
Два теста показали эффективность действий создателей Mebroot. Доля компьютеров, для которых посещение зараженных сайтов закончилось инфицированием, составила 6,5%. В 13,3% случаев системное ПО компьютера подверглось модификации.
Антивирусное ПО не всегда спасает - более половины (54%) переадресованных на вредоносные сайты компьютеров были оснащены антивирусным ПО. В 12% случаев антивирусное ПО не спасло компьютер даже от заражения.
