Clampi – nejprofesionálnější botnet

26. 8. 2009

Sdílet

Botnet vytvořený trojským koněm Clampi zatím infikoval maximálně milion počítačů, což ho ani zdaleka neřadí k těm nejrozšířenějším. Joe Stewart z firmy SecureWorks nicméně uvedl, že se jedná o nejprofesionálněji vytvořenou síť tohoto typu, s níž se zatím setkal.

Botnet z infikovaných počítačů shromažďuje data zadávaná na asi 4 500 serverů (hesla, čísla karet, PINy apod.). Přitom se samozřejmě zaměřuje především na servery bankovních systémů a dalších transakčních prostředí. Právě množství sledovaných serverů je poměrně unikátní – existuje celá řada podobně navržených botnetů, ty ale většinou sledují jen několik málo desítek webů.

Clampi se šíří spustitelnými přílohami posílanými e-mailem nebo pomocí toolkitů, které se zaměřují na sadu zranitelností Windows – takže pak může stačit pouze navštívit podvodný web. Dokáže se pak také přenášet v síti počítačů Windows a nakazit všechny PC v příslušné doméně.

Výjimečný je podle Stewarta způsob, jak útočníci svůj kód maskují, šifrují a rozdělují do několika vrstev. Program na uživatelově PC samozřejmě čas od času odesílá shromážděná data na řídicí servery, kompletní princip jeho fungování je však těžké odhalit. Využívá virtuální procesor a při každém spuštění se sada instrukcí sestavuje znovu v odlišné podobě. Aby nebyl odhalen antiviry, „zdrojový kód“ malwaru se ukrývá zašifrovaný v registrech Windows. Standardní nástroje typu debuggerů jsou proti tomuto fungování prakticky bezmocné. Rovněž komunikace s řídicími servery je šifrovaná.

Clampi má za sebou poměrně dlouhou historii, poprvé byl zaznamenán v prosinci 2007. Předpokládá se, že původ botnetu je v Rusku nebo jinde ve východní Evropě, ani to však není podle Stewarta zdaleka jisté. Každopádně svým tvůrcům už zřejmě přinesl mnohem větší zisky než třeba tolik medializovaný Conficker. Podle článku ve Washington Post například Clampi firmu Slack Auto Parts připravil o 75 000 dolarů, když získal přístupové údaje k jejímu bankovnímu účtu.

bitcoin_skoleni