Como a Microsoft e a Kaspersky Lab neutralizaram uma botnet de spam
Botnets são temidas não só pelo que elas podem fazer, mas também por sua natureza resistente (é virtualmente impossível desativar completamente uma). Mesmo assim, a Microsoft e o Kaspersky Lab se juntaram para eliminar uma botnet maligna específica chamada Kelihos. Entenda como isso aconteceu.
A Kelihos é uma botnet que, em seu pico, enviava 4 bilhões de mensagens de spam por dia. De acordo com o blog de segurança ThreatPost, a botnet não foi exatamente desligado, mas sim “naufragado”. A botnet continua operando, mas é 100% controlada pela Kaspersky Lab (que, por sinal, não recebeu o reconhecimento da Microsoft por seus esforços). Botnets funcionam infectando computadores de pessoas aleatórias com conexão à internet, e usam as máquinas comprometidas para fazer suas maldades por meio de uma rede P2P privada. A Kaspersky ganhou controle da botnet ao fazer com que as máquinas conversassem com seus servidores do que com os servidores da botnet.
Nesta segunda, nós começamos a propagar um endereço de peer especial. Muito em breve, esse endereço será o mais importante da botnet, fazendo com que os bots conversem com nossas, e apenas as nossas, máquinas. Especialistas chama tal ação de naufrágio — bots se comunicam apenas por um caminho, em vez de conversarem com seus controladores. Ao mesmo tempo, nós distribuímos uma lista especial dos servidores para substituir o original pelo endereço mencionado acima para prevenir que os bots peçam comandos para as máquinas. Daí para frente, a botnet não poderá mais ser comandada.
Mas há um detalh importante: como a Kaspersky não pode desligar cada computador infectado, eles não podem desligar a botnet. Eles acreditam que poderiam fazer a botnet soltar uma atualização em todas as máquinas para remover a infecção e desligar a rede, mas para eles tal movimento seria ilegal. Que bom! [ThreatPost]
Crédito da imagem: James Cridland/(CC BY 2.0)