По какой-то причине командные серы ботнетов на базе Zeus уходят с доменов .RU на домены .SU. По статистике сайта Zeus Tracker, несколько «худших» командных серверов Zeus C&C с самым большим аптаймом уже размещаются на доменах .SU.

По мнению специалистов по безопасности, это может быть связано с тем, что злоумышленники больше не чувствуют себя в безопасности в доменной зоне .RU. Раньше иностранным организациям и антивирусным компаниям было трудно добиться закрытия домена в зоне .RU, вероятно, сейчас ситуация начинает меняться. С другой стороны, доменная зона .SU, которая находится под управлением RIPN, до сих пор является активной, хотя и принадлежит несуществующему государству СССР.

Впрочем, пока рано дело далеко идущие выводы. Возможно, переезд нескольких серверов C&C в зону .SU — это просто случайность.

Однако, представитель аналитической компании Abuse.ch, которая поддерживает работу Zeus-трекера, высказывает мнение, что провайдерам имеет смысл полностью блокировать доменную зону .SU на сетевом уровне (веб-прокси или сестема фильтрации контента), поскольку в этой зоне всё равно практически нет легитимных сайтов.

Вот некоторая статистика с Zeus Tracker на данный момент:

Серверы ZeuS C&C в трекере: 693
Серверы ZeuS C&C в онлайне: 193
Серверы ZeuS C&C с файлами в онлайне: 13
ZeuS FakeURLs: 6
ZeuS FakeURLs в онлайне: 1
Средний уровень определения бинарников антивирусами: 36.4%

Топ-10 хостеров Zeus C&C

Топ-10 регистраторов (по доменам)

Страны-хостеры (с файлами в онлайне)

Худшие Zeus C&C (по аптайму)