Ботнет Cutwail практически полностью восстановил свою активность всего через 48 часов после отключения связанного с ним интернет-провайдера. Об этом пишет Ars Technica. Рижский провайдер Real Host, которого подозревают в сговоре с кибер-преступниками, был отключен от интернета 1 августа 2009 года. Это привело к немедленному снижению количества рассылаемого в мире спама на 38 процентов. Но через несколько дней активность спамеров вернулась на прежний уровень.
Real Host обвинили в поддержке управляющих центров ботнетов, хостинге вредоносных и поддельных ("фишинговых") веб-сайтов, а также в рассылке спама. Большая часть спама, проходящего через серверы провайдера, была связана с ботнетом Cutwail. Эта сеть входит в список крупнейших в мире ботнетов наряду с Xarvester, Rustock, Mega-D и DonBot, сообщается в августовском отчете Message Labs.
После отключения Real Host активность ботнета Cutwail упала на 90 процентов. Но успех оказался кратковременным — уже через 48 часов количество рассылаемого через Cutwail спама вернулось на прежний уровень. Входящие в ботнет зараженные компьютеры, получив новые инструкции, переориентировались на другие управляющие центры.
Последнее поколение ботнетов отличается повышенной жизнеспособностью, пишет Ars Technica. Когда в прошлом году был закрыт американский интернет-провайдер McColo, то связанным с ним ботнетам для восстановления активности потребовалось несколько недель.
В отчете Message Labs также отмечается, что спамеры все чаще применяют в своих рассылках сервисы сокращения интернет-адресов, такие как TinyURL. Это помогает им скрыть подлинный адрес рекламируемых сайтов. Особенно активна в этом отношении сеть DonBot.
Операторы ботнетов скрытно устанавливают на зараженные компьютеры программу, которая периодически обращается по различным интернет-адресам в поиске управляющего центра. Адреса генерируются по сложным алгоритмам, а для связи с зомби-машинами используются каналы IRC и даже Twitter. Ботнеты обычно занимаются кражей персональных и банковских данных. Часто их сдают в аренду другим преступникам для рассылки спама или осуществления DDoS-атак.
В начале 2009 года исследователи из Калифорнийского университета смогли на 10 дней перехватить контроль над ботнетом Torpig, также известным как Sinowal. За это время они зафиксировали более 180 тысяч новых случаев заражения и получили около 80 гигабайт персональных данных, которые зараженные машины пересылали в управляющий центр.