Компанія ESET у співпраці з Microsoft Digital Crimes Unit та іншими дослідниками знешкодили відомий ботнет Zloader. При цьому фахівці ESET надали технічний аналіз, статистичну інформацію, а також доменні імена та IP-адреси командних серверів.
Загроза поширювала різні сімейства шкідливих програм, в тому числі і програм-вимагачів. Крім того, Zloader могла викрадати дані з браузерів, записувати натискання клавіш і робити знімки екрану, а також віддалено керувати інфікованими системами. Останнім часом загроза поширювалася за допомогою шкідливої реклами в браузері та спливаючих вікон на фальшивих сайтах.
Скоординована операція по знешкодженню була спрямована на три конкретних ботнети, кожен з яких використовував різну версію шкідливого програмного забезпечення Zloader. Дослідники ESET допомогли ідентифікувати 65 шкідливих доменів, які були використані під час ефективної операції зі знешкодження.
Крім цього, ботнет Zloader використовував резервний канал з'єднання, який автоматично генерує унікальні доменні імена для отримання команд. Цей метод, відомий як алгоритм генерації домену, використовується для створення 32 різних доменів на день. Щоб запобігти використанню зловмисниками цього додаткового каналу для відновлення контролю над ботнет-мережами, було заблоковано вже 319 зареєстрованих доменів. Тепер фахівці з безпеки вживають заходів щодо блокування реєстрації доменів, які можуть бути створені в майбутньому.
Слід зазначити, що знешкодження механізмів поширення програм-вимагачів є досить ефективним способом протидії цьому виду загроз. У зв'язку з доступністю Zloader на підпільних форумах, фахівці ESET продовжать відстежувати нову активність цього сімейства шкідливих програм після операції зі знешкодження в існуючих ботнет-мережах.
