Microsoft обнаружила 400 тысяч email-адресов на жестких дисках Rustock

26.05.2011

Microsoft в общих чертах изложила результаты исследования жестких дисков, принадлежащих командным и контролирующим серверам ботнета в отчете о проделанной работе, предоставленном в федеральный окружной суд 23 мая. Исследователи Microsoft изучали и анализировали аппаратные средства, изъятые американскими правоохранительными органами во время рейда 17 марта, сообщило 24 мая ИТ-издание Network World.

Следователи обнаружили "дополнительные доказательства" того, что изъятые серверы являлись частью "распространяющего спам" ботнета,  сообщила Microsoft американскому окружному судье Джеймсу Робарту. Жесткие диски содержали кастомизированное ПО, которое включало   спам-сообщения и текстовые файлы с тысячами email-адресов и соответствующих паролей. Microsoft также обнаружила доказательства того, что преступники использовали украденные номера кредитных карт для приобретения хостинга и почтовых сервисов.

"Только один текстовый файл содержал более 427 000 e-mail адресов", - написала Microsoft.

Microsoft нашла зацепку, которая дает возможность предположить, что владельцы Rustock являются выходцами из России. Платежи за некоторые хостинговые сервисы были сделаны с особого аккаунта Webmoney. Система Webmoney помогла Microsoft пройти по следу к аккаунту Владимира Шергина из города Химки, расположенного к северо-западу от Москвы. Однако Microsoft признала в отчете, что в действительности и кто-то другой мог купить хостинговые сервисы.

"Microsoft продолжает расследование чтобы определить, являются ли имя и контактная информация подлинными или заимствованными и связан ли данный человек со всеми этими операциями", - сообщила компания.

Отследить происхождение ботнета было очень непростой задачей, поскольку 18 из 20 дисков, изъятых во время рейда, были использованы в качестве Tor узлов для обеспечения анонимности интернет-трафика.

Ботнет Rustock, по оценкам, включал около миллиона взломанных компьютеров и обладал возможностью рассылать ежедневно около 30 миллиардов спамовых сообщений. Microsoft получила запретительный судебный приказ от окружного суда, дающий маршалам и другим правоохранительным организациям право на изъятие C&C серверов, размещенных в семи американских городах.

Однако уничтожение ботнета в марте не оказало продолжительного влияния на всемирный уровень спама. Уровень спама снизился на 2-3% в течение непродолжительного времени после падения ботнета, но затем вернулся к прежним показателям, сообщила компания Kaspersky Lab в своем ежеквартальном отчете о спаме.

В первом квартале 2011 года спам составлял немного менее 80% от всего объема почтовой переписки, что на 1.4 % больше, чем в последнем квартале 2010 года, но на 6.5 % меньше, чем в первом квартале 2010 года. В своем апрельском (ежемесячном) отчете об уровне спама, компания Kaspersky Lab сообщила, что количество спама увеличилось на 1.2 % по сравнению с мартом, и составило в среднем 80.8 % от всего объема e-mail.

"Закрытие командных центров ботнета Rustock 16 марта 2011 года не оказало столь значительного влияния на спам-трафик, как закрытие Pushdo, Cutwail Bredolab в прошлом году", - сообщили исследователи Kaspersky в своем квартальном отчете.

Источник: http://www.xakep.ru/post/55776/default.asp