Ботнет Kelihos, который разработчики из «Лаборатории Касперского» и Microsoft ликвидировали прошлой осенью, перекрыв контрольный канал, снова живее всех живых. По сравнению с его прошлой «инкарнацией», единственные изменения были внесены только в сам вредоносный код и список контроллера. Воскрешение ботнета наглядно демонстрирует сложность борьбы с подобными вредоносными сетями и укрепляет вирусописателей, что они могут жить неограниченно долго.

В конце сентября разработчики из «Лаборатории Касперского» и Microsoft вместе вели работу по созданию инструмента, противостоящего Kelihos, который использовал метод синкхолинга (sinkholing). Суть метода заключается в перенаправлении командного трафика троянов с C&C-сервера на собственный сервер аналитиков.

В данном случае боты, находящиеся на заражённых компьютерах, направлялись на сервер, контроль над которым осуществляли специалисты «ЛК», вместо сервера, контролируемый мошенниками. Для Kelihos, пирингового ботнета, исследователи из «Лаборатории Касперского» создали новый пиринговый адрес, с которым связывался инфицированный компьютер для получения дальнейших инструкций. Это позволило исследователям установить контроль над зомбосетью.

«Очень скоро этот адрес стал превалирующим в ботнете, что привело к тому, что все боты связывались только с нашим сервером, — рассказывает Тиллманн Вернер (Tillmann Werner), исследователь из «Лаборатории Касперского», который принимал участие в ликвидации Kelihos. — Такое взаимодействие и носит название синкхолинг — когда компьютеры-зомби соединяются с «дыркой», вместо реальных контроллеров. В это же время мы распространили специально созданный перечень рабочих серверов, чтобы заменить изначальный список, и не дать ботам запрашивать команды. И с этого момента злоумышленники потеряли контроль над своей бот-сетью».

Вернер также отметил, что синкхолинг не является окончательным решением проблемы, поскольку пиры в сети могут со временем связывать с другими контроллерами, и пир-«дырка» потеряет свою лидирующую позицию. Действенным решением проблемы станет внедрение в заражённую систему обновления, которое удалило бы или нейтрализовало ботов, однако существуют законодательные и этические нормы, которые связывают руки борцам с вредоносами.

Как иронично замечает Threatpost, то, что произошло с момента деактивации ботнета в сентябре, вполне вписывается в предсказания Вернера. Зомбосеть Kelihos слегка модифицировала свою форму, и вернулась в строй. Ключ шифрования, используемый ботнетом, поменялся всего на один бит, также поменялись ключи подписей некоторых компонентов зомбосети. Подробнее об изменениях можно узнать здесь.

Новая версия Kelihos, по мнению аналитиков, увидела свет уже через несколько дней после обезвреживания ботнета в конце сентября, и продолжала использоваться для рассылки спам-сообщений.