Bredolab | |
---|---|
Тип | ботнет, троянская программа, кейлогер |
Год появления | 2009 год[1] |
Bredolab — ботнет, сделанный для кражи личных данных и распространения других вредоносных программ. Начал свою работу в 2009 году[1]. В какой-то момент мог иметь размер 30 млн устройств, хотя эта цифра может быть завышена[2]. Он рассылал около 3,6 млрд писем спама в день[3]. Большинство серверов Bredolab были арендованы у нидерландского хостинг-провайдера LeaseWeb (крупнейшего в стране)[4].
В августе 2009 года Bredolab внезапно резко вырос в размере, его размер стал равен более 20 000 машин, всего за месяц до этого его размер держался на отметке в около 30 машин[5].
25 октября 2010 года ботнет, как считалось, был обезврежен немецкой полицией[4]. Автор ботнета попытался вернуть контроль над серверами ботнета, но после неудачи запустил DDoS-атаку на LeaseWeb с 220 тыс. компьютеров[1][6]. Считалось, что все 143 сервера ботнета отключены, однако позже оказалось, что есть ещё один действующий сервер в России — proobizz.cc. Затем был найден второй сервер LodFewPleaser.com, также находящийся в России, а точнее в Москве, ещё чуть позже — upload-good.net в Карагандинской области в Казахстане[3][7].
В создании Bredolab подозревался 27-летний россиянин Георг Аванесов, также известный как «padonaque» и «Atata»[8], он был арестован в аэропорте Еревана в 2010 году[1][6]. Сообщается, что он получал $139 000 с ботнета каждый месяц. Аванесов также был тесно связан с доменом Spamit.com, сделанным для спама[4].
По схеме работы Bredolab довольно похож на ботнет Cutwail (Pushdo), предполагалось, они могут быть сделаны одними и теми же людьми[5].
Заражение Bredolab может проходить через электронную почту и вредоносные ссылки в социальных сетях, таких как Facebook и MySpace. Рассылаемые им письма с вложениями содержат новости о якобы смерти некой знаменитости, при открытии вложения происходит заражение устройства[9]. При заражении он связывается со своими серверами и получает контроль над устройством, также внедряется в процессы svchost.exe и explorer.exe. Bredolab может загружать вредоносные программы на заражённый компьютер[10], удалять и копировать различные файлы, а также красть личную информацию и записывать нажимаемые клавиши[4]. Среди загружаемых файлов есть ненастоящий антивирус (лжеантивирус), который при «сканировании» в любом случае найдет на устройстве вредоносное ПО, хотя в действительности эта программа не сканирует устройство[5].