Botnets são temidas não só pelo que elas podem fazer, mas também por sua natureza resistente (é virtualmente impossível desativar completamente uma). Mesmo assim, a Microsoft e o Kaspersky Lab se juntaram para eliminar uma botnet maligna específica chamada Kelihos. Entenda como isso aconteceu.
A Kelihos é uma botnet que, em seu pico, enviava 4 bilhões de mensagens de spam por dia. De acordo com o blog de segurança ThreatPost, a botnet não foi exatamente desligado, mas sim “naufragado”. A botnet continua operando, mas é 100% controlada pela Kaspersky Lab (que, por sinal, não recebeu o reconhecimento da Microsoft por seus esforços). Botnets funcionam infectando computadores de pessoas aleatórias com conexão à internet, e usam as máquinas comprometidas para fazer suas maldades por meio de uma rede P2P privada. A Kaspersky ganhou controle da botnet ao fazer com que as máquinas conversassem com seus servidores do que com os servidores da botnet.
Nesta segunda, nós começamos a propagar um endereço de peer especial. Muito em breve, esse endereço será o mais importante da botnet, fazendo com que os bots conversem com nossas, e apenas as nossas, máquinas. Especialistas chama tal ação de naufrágio — bots se comunicam apenas por um caminho, em vez de conversarem com seus controladores. Ao mesmo tempo, nós distribuímos uma lista especial dos servidores para substituir o original pelo endereço mencionado acima para prevenir que os bots peçam comandos para as máquinas. Daí para frente, a botnet não poderá mais ser comandada.
Mas há um detalh importante: como a Kaspersky não pode desligar cada computador infectado, eles não podem desligar a botnet. Eles acreditam que poderiam fazer a botnet soltar uma atualização em todas as máquinas para remover a infecção e desligar a rede, mas para eles tal movimento seria ilegal. Que bom! [ThreatPost]
Crédito da imagem: James Cridland/(CC BY 2.0)