Zdá sa, že sa vo svete objavil nový botnet, ktorý by mohol zaujať miesto kráľa botnetov. Výskumníci zo spoločnosti Damballa ho pomenovali Kraken podľa mýtického hlavonožca, ktorý svojou veľkosťou a silou dokázal potápať celé lode. Názov ako stvorený pre potencionálneho nasledovníka “trónu”.

Na tohtoročnej konferencii RSA predstavili výskumníci zo spoločnosti Damballa svoj výskum, ktorý popisuje nový botnet, ktorý zasiahol minimálne 50 počítačov spoločností, nachádzajúcich sa v rebríčku Fortune 500 (500 najúspešnejších spoločností na svete). Malware, ktorý po úspešnej infikácii počítača obete vytvára botnet je podľa výskumu nedetekovateľný 80% počítačov, na ktorom sa nachádza anti-vírusový softvér a to vďaka tomu, že malware využíva niekoľko veľmi sofistikovaných techník pre maskovanie zdrojového kódu (polymorfovanie) a taktiež umožňuje ako Storm aktualizovať kód za “behu”.

“Je ľahko vystopovateľný, no veľmi ťažko odstrániteľný za pomoci anti-vírusu. Zdá sa, že autori malwaru majú veľmi dobrú znalosť o fungovaní anti-vírusov,” povedal Paul Royal, principal researcher at Damballa.

Úspešnosť Krakena pri infikácii veľkých spoločností, ktoré sú vo svete považované za špičku, je prebudeným pre všetkých, ktorí si myslia, že botnety sú problémom len bežných užívateľov. Damballa a niekoľko ďalších spoločností, ktoré sú expertmi na problematiku botnetov, sledujú za posledných niekoľko mesiacov obrovský nárast botnetov vo svete a hlavne ich úspešné infikovanie spoločností (viď “MayDay, najnebezpečnejší malware dneška“).

Royal potvrdil, že rovnako ako Storm, je využívaný Kraken pre spamovanie bežným spamom, ako napríklad veľmi zaujímavé pôžičky, rôzne gamblerské ponuky, farmaceutika, atď. “Vďaka možnosti aktualizovať kód “za jazdy” však môže botnet získať schopnosť, ktorú momentálne nemá a môže byť použitý na akúkoľvek inú činnosť,” povedal Royal.

Spoločnosť Damballa predpovedá Krakenovi rapídny nárast počtu infikovaných počítačov. Storm sa podla viacerých indícií v dobe svojej najväčšej slávy nachádzal na viac ako 50 miliónoch počítačov. Kraken dodnes podľa odhadov infikoval “len” asi 400,000 počítačov, no tento mesiac by mohol získať ďalších 600,000. Kraken je však opäť o niečo sofistikovanejší ako Storm. Jediný bot za jeden deň pošle približne 500,000 nevyžiadaných emailov.

Nateraz je spôsob infikovania počítačov Krakenom záhadou. Podľa Royala sa Kraken šíri za pomoci obrázku, ktorý obsahuje kópiu Krakena. Ak sa obež tento obrázok pokúsi otvoriť, Kraken infikuje jeho počítač. Obrázok však nemá bežnú príponu pre súbory tohoto typu, ale opäť je to .exe, ktoré na počítačoch s OS Windows predstavuje program. Royal vylúčil, že by sa jednalo o ten botnet od tých istých tvorcov, ako v prípade Stormu.

Zombie počítače komunikujú s centrálou Krakenu za pomoci upravených UDP a TCP protokolov a botnet je uspôsobený tak, aby vytvoril vlastnú doménu, ak by bola centrála odpojená, alebo odhalená. “Payload (informácie získané malwarom) je kryptovaný,” dodal Royal.

Damballa odhalenie tohoto botnetu oznámila už koncom minulého roku, no prvé verzie kódu pravdepodobne pochádzajú až z roku 2006. Primárne komunikačné centrály sa nachádzajú na území Francúzska, USA a Ruska.

Nech už za týmto botnetom stojí ktokoľvek, Kraken zvyšuje počet botnetových gigantov na 7. Pravdepodobne však toto číslo nebude konečné a ešte tento rok sa môžeme tešiť na záplavu nových botnetov.

Zdroj: DarkReading