Компьютер-зомби

Компьютеры-зомби, которыми дистанционно управляют без ведома их владельцев, активно используются в сетях киберпреступности^[3]. На август 2011 года оценивалось, что в мире насчитывается от 100 до 150 миллионов скомпрометированных компьютеров^[1]. С помощью компьютерных вирусов, представляющих собой ключ к специальным управляющим программам, управляющий компьютер тайно проникает в компьютер-жертву и использует его для незаконных действий. Пользователь часто даже не подозревает о заражении и продолжает использовать свой ПК, иногда замечая лишь существенное снижение производительности. Управляющую сеть могут сдавать в аренду другим преступникам или недобросовестным компаниям^[3]. Владельцы управляющих сетей получают стабильный доход, сдавая свои ботнеты другим киберпреступникам. Для увеличения охвата они могут скрывать трояны во привлекательных файлах, распространяемых через P2P-сети или бесплатные сайты прямых загрузок^[4].

Компьютер-зомби может начать массовую рассылку спама либо перейти к атакам на веб-сайты, что может привести к тому, что сам пользователь окажется объектом полицейского расследования по подозрению в противоправной деятельности. Пользователь может столкнуться с блокировкой интернет-доступа со стороны провайдера или с проверками органов по расследованию компьютерных преступлений, что, впрочем, не станет значительной потерей для владельца ботнета в случае большого числа подконтрольных устройств. Известен случай, когда, например, участник «сети Rustock» управлял миллионом компьютеров, используя их как платформу для атак и рассылки до 30 миллиардов спам-сообщений в день^[1].

Организованные группы могут одновременно контролировать десятки тысяч заражённых компьютеров, создавая огромный лавинообразный трафик с многочисленных источников в Интернете, направленный на одну сеть или сервер. Это явление известно как атака типа "отказ в обслуживании" (DDoS), обычно используемая для вымогательства у жертв денег за сохранение работоспособности их ресурсов^[5].

Обычный способ использования зомби — массовая рассылка спама^[4]. Высокая синхронность рассылки, когда одна машина сменяет другую с интервалом в несколько секунд, говорит о наличии сложной структуры командования и контроля ботнетом.

В большинстве случаев для предотвращения заражения достаточно соблюдать элементарные меры предосторожности: не посещать сомнительные сайты, не скачивать развлекательные материалы и файлы из неизвестных источников, использовать все инструменты защиты ПК (антивирусы, системы фильтрации спама, файерволы и пр.)^[6].

23 декабря 2009 года при совместной операции Гражданской гвардии, ФБР и ряда компаний в сфере кибербезопасности на территории Испании была ликвидирована сеть из 13 миллионов компьютеров-зомби (200 000 из которых находились в Испании), однако уже через несколько дней задержанным удалось восстановить контроль и осуществить атаку возмездия на Defense Intelligence, выведя из строя их серверы^[7]. Дело было передано в Национальную судебную палату, которая санкционировала арест трёх граждан Испании — организаторов сети. Преступная группа похитила персональные и банковские данные более чем 800 тыс. пользователей, заразила компьютеры 500 крупных компаний и свыше 40 банковских организаций^[5].

Хотя антивирусные программы не всегда выявляют, что ПК стал частью ботнета, существуют признаки, которые могут указывать на это^[8]:

• Компьютер и система работают необычно медленно, часто зависают или не откликаются на команды.
• Сеть или соединение с интернетом работают слишком медленно при загрузке ресурсов и т. д.
• Появляется непонятная сеть-активность в периоды, когда компьютер не используется.
• Некоторые или все функции веб-сайтов оказываются недоступными.
• Увеличивается количество входящего спама, что может вызвать сбои и задержки в работе компьютера.
• Файервол предупреждает о попытках неизвестных программ или процессов установить соединение с интернетом с подозрительными целями.

При наличии нескольких из этих признаков можно подозревать инфицирование малварью и включение ПК в ботнет, в таком случае рекомендуется немедленно обратиться за помощью к специалисту.