Botnety - niezniszczalne wirusy?
Firma Fortinet opublikowała raport o najważniejszych zagrożeniach sieciowych listopada. Sprawozdanie ujawnia 12 procentową redukcję globalnego spamu po likwidacji przez władze Holandii dużej sieci Bredolab, przejmując ponad 140 serwerów. W ubiegłym miesiącu wyeliminowano także groźnego robaka Koobface, który infekował popularne serwisy społecznościowe.
Rok 2010 był niezwykle udany, jeśli chodzi o zwalczanie cyberprzestępczości, w szczególności botnetów. W tym roku udało się unieszkodliwić następujące robaki: Mariposa/Butterfly, Pushdo/Cutwail, Zeus/ZBot, Bredolab, a w listopadzie: Koobface.
Pomimo tego, że były to spektakularne sukcesy w walce ze zorganizowaną cyberprzestępczością, analitycy z laboratoriów Fortinet w dalszym ciągu obserwują aktywne zagrożenia związane z wymienionymi botnetami, choć włożono wiele wysiłku w działania zmierzające do ich likwidacji. Dzieje się tak dlatego, że kody źródłowe i zestawy do tworzenia botnetów są łatwo dostępne. Z ich pomocą cyberprzestępcy mogą tworzyć własne botnety.
Przykładem reaktywacji botnetów jest Koobface, który został zlikwidowany 14 listopada, kiedy brytyjski dostawca usług internetowych Coreix przejął jego trzy "macierzyste" serwery. Koobface wykorzystywał serwery proxy do komunikowania się z serwerami macierzystymi za pośrednictwem HTTP (port 80). W pierwszych dniach likwidacja serwerów macierzystych uniemożliwiła działanie serwerów proxy i skutecznie sparaliżowała botnet. Niestety, ponowną aktywność robaka można było obserwowąc już pięć dni później, 19 listopada. Prawdopodobnie dlatego, że Koobface zawiera protokół FTP umożliwiający transfer plików między serwerami. Dzięki temu twórcy złośliwych aplikacji mogą przesłać dane z serwerów proxy na nowe serwery macierzyste.
Ponadto, w listopadzie analitycy z laboratoriów FortiGuard ujawnili groźne cztery luki w Adobe Shockwave (FGA-2010-54), Adobe Flash (FGA-2010-56), Microsoft Office PowerPoint (FGA-2010-58), i Apple QuickTime (FGA-2010-61). Wykryte dziury pozwalały atakującym na dostęp do dowolnych kodów ze zdalnej lokalizacji. W sumie w ubiegłym miesiącu pojawiło się 146 nowych luk, z czego 61 (ponad 40 proc.) było aktywne.
