Rețeaua botnet ZeroAccess

ZeroAccess este un software rău intenționat de tip cal troian care afectează sistemele de operare Microsoft Windows. Acesta este utilizat pentru a descărca alte programe malware pe o mașină infectată de la un botnet, rămânând în același timp ascuns folosind tehnici de rootkit.^[1]

Rețeaua botnet ZeroAccess a fost descoperită cel puțin în jurul lunii mai 2011.^[2] Se estimează că rootkit-ul ZeroAccess responsabil de răspândirea rețelei botnet a fost prezent pe cel puțin 9 milioane de sisteme.^[3] Estimările privind dimensiunea botnetului variază în funcție de surse; furnizorul de antivirus Sophos a estimat dimensiunea botnetului la aproximativ 1 milion de sisteme active și infectate în al treilea trimestru al anului 2012, iar firma de securitate Kindsight a estimat 2.2 milioane de sisteme infectate și active.^[4][5]

Botul în sine este răspândit prin intermediul rootkit-ul ZeroAccess printr-o varietate de vectori de atac. Un vector de atac este o formă de inginerie socială, în care un utilizator este convins să execute un cod rău intenționat fie prin deghizarea acestuia într-un fișier legitim, fie prin includerea sa ascunsă ca o sarcină utilă suplimentară într-un executabil care se anunță, de exemplu, ca ocolind protecția drepturilor de autor (un Keygen^⁠(d)). Un al doilea vector de atac utilizează o rețea de publicitate pentru ca utilizatorul să facă clic pe o reclamă care îl redirecționează către un site care găzduiește însuși software-ul rău intenționat. În cele din urmă, un al treilea vector de infectare utilizat este o schemă de afiliere prin care persoane terțe sunt plătite pentru instalarea rootkit-ului pe un sistem.^[6][7]

În decembrie 2013, o coaliție condusă de Microsoft a încercat să distrugă rețeaua de comandă și control pentru botnet. Totuși, atacul a fost ineficient, deoarece nu toate C&C-urile au fost confiscate, iar componenta sa de comandă și control peer-to-peer nu a fost afectată - ceea ce înseamnă că botnetul putea fi în continuare actualizat în voie.^[8]

Odată ce un sistem a fost infectat cu rootkit-ul ZeroAccess, acesta va începe una dintre cele două operațiuni principale ale botnetului: minarea de bitcoin^⁠(d) sau fraudă PPC^⁠(d). Mașinile implicate în minarea de bitcoin generează bitcoini pentru controlorul lor, a căror valoare estimată era de 2,7 milioane de dolari americani pe an în septembrie 2012.^[9] Mașinile utilizate pentru fraudarea click-urilor simulează click-uri pe reclame de pe site-uri web plătite pe baza plată per click. Profitul estimat pentru această activitate poate ajunge până la 100.000 de dolari americani pe zi,^[10][11] care îi costă pe agenții de publicitate 900.000 de dolari pe zi în clicuri frauduloase.^[12] De obicei, ZeroAccess infectează Master Boot Record^⁠(d) (MBR-ul) sistemului infectat. Alternativ, poate infecta un driver aleatoriu din C:\Windows\System32\Drivers, oferindu-i control total asupra sistemului de operare.^{[necesită citare]} De asemenea, dezactivează Windows Security Center, Firewall și Windows Defender din sistemul de operare. ZeroAccess se conectează, de asemenea, la stiva TCP/IP pentru a ajuta la fraudarea clicurilor.

De asemenea, software-ul caută malware-ul Tidserv și îl elimină dacă îl găsește.^[1]

• Botnet
• Malware
• Comandă și control (malware)
• Zombi (informatică)
• Criminalitate informatică
• Securitatea internetului
• Fraudă PPC
• Clickbot.A^⁠(d)

• Analysis of the ZeroAccess botnet, creat de Sophos.
• ZeroAccess Botnet, Kindsight Security Labs.
• New C&C Protocol for ZeroAccess^{[nefuncțională]}, Kindsight Security Labs.