Ботнет ASProx, возможно, связан с доменами Conficker
04.02.2009
Зомби-сеть, созданная сетевым червем Conficker, еще не начала свою деятельность, однако уже сейчас демонстрирует поведение, которое может помочь исследователям установить ее происхождение и возможные цели создания.
Разновидности червя Conficker (Downadup) используют уязвимость в службе Windows Server, патч для которой корпорация Microsoft выпустила еще в конце октября прошлого года. Инфицированные ПК превращаются в боты, которые соединяются с центрами управления через заранее определяемые и часто меняющиеся адреса. Такое поведение позволило аналитику Arbor Networks Хосе Назарио выявить связи между сайтами, используемыми Conficker и ресурсами, ассоциированными с ботнетом ASProx. Некоторые из связанных с червем Conficker доменов стали мелькать в зомби-сети ASProx около недели назад.
Ботнет ASProx используется с целью распространения спама, предназначенного для реализации фишинговых атак, а SQL-инъекции в популярные сайты становятся основным средством распространения вредоносного ПО. Если учесть, что сайты, используемые Conficker, были заранее запрограммированы, то связь между этим червем и ботнетом ASProx становится особенно любопытной, и представляет интерес для дальнейшего изучения. Впрочем, никаких свидетельств взаимодействия между авторами вируса и хозяевами ботнета пока нет.
