ZeroAccess

ZeroAccess
Тип троянская программа, ботнет, дроппер, бэкдор, конкретно 32-битная версия — руткит[1][2]
Год появления 2009 год
Используемое ПО различные пакеты эксплойтов[1]

ZeroAccess (также известен как Siref или ZAccess) — зашифрованная троянская программа и ботнет, сделанный в основном для майнинга биткоинов, проведения кликфродов и распространения различных вредоносных программ. Начал свою деятельность в 2009 году[3]. Сперва имел 32-битную версию, позже появилась 64-битная[2]. Для своего распространения использует одноранговую сеть[4]. В 2012 году был назван самым активным ботнетом[5]. Всего существовало 2 ботнета ZeroAccess с двумя версиями у каждого (32-битная и 64-битная), для первых двух версий использовались порты 16464 и 16465, для других 16470 и 16471[6]. Всего было идентифицировано 18 серверов ботнета[3].

Было подсчитано, что при работе на максимальной мощности ботнет способен принести его владельцу сумму в размере $100 000[4], ежемесячно ботнет приносил ему около $2,7 млн[3].

Размер ботнета

[править | править код]

Размер двух ботнетов ZeroAccess составляет 575 тыс. и 1150 тыс. устройств, всего они заразили каждый по 9,5 млн устройств, но большинство из них смогли быстро вылечиться от трояна[7]. Все устройства были разбросаны по 198 странам, включая Кирибати, Бутан и некоторые другие маленькие страны. Больше всего заражённых устройств находились в США, Канаде, Восточной Европе, Бразилии, Японии, Румынии и Аргентине[6].

Схема работы ZeroAccess

[править | править код]

Заражение ZeroAccess может проходить через кликфрод с помощью набора эксплойтов, либо с помощью социальной инженерии. В зависимости от того, какая используется система (32- или 64-битная), скачивается соответствующая версия трояна[1]. После заражения он скачивает на заражённое устройство бэкдор, а также другие различные вредоносные программы[2], среди них могут быть разные банковские трояны, спамбот, использующий порт 34354, а также ненастоящий антивирус[5]. Конкретно версия для 32-битных систем перед этим скачивает ещё и руткит, который делает вирус менее заметным для антивирусных программ[1].

Примечания

[править | править код]
  1. 1 2 3 4 The ZeroAccess rootkit. Naked Security. Дата обращения: 11 октября 2021. Архивировано 27 октября 2021 года.
  2. 1 2 3 Monthly Malware Statistics, May 2011. SecureList. Дата обращения: 11 октября 2021. Архивировано 27 октября 2021 года.
  3. 1 2 3 Microsoft disrupts botnet that generated $2.7M per month for operators. Ars Technica. Дата обращения: 11 октября 2021. Архивировано 24 октября 2021 года.
  4. 1 2 Over 9 million PCs infected — ZeroAccess botnet uncovered. Naked Security. Дата обращения: 11 октября 2021. Архивировано 27 октября 2021 года.
  5. 1 2 Архивированная копия. Дата обращения: 11 октября 2021. Архивировано 3 декабря 2012 года.
  6. 1 2 9 million PCs infected with ZeroAccess botnet. The Hacker News. Дата обращения: 11 октября 2021. Архивировано 27 октября 2021 года.
  7. Sophos_ZeroAccess_Botnet.pdf. Sophos. Дата обращения: 11 октября 2021. Архивировано 22 февраля 2022 года.