Ликвидация ботнета Win32.Ntldrbot (Rustock)
17 марта 2011 года прекратил работу самый крупный генератор спама, ботнет Win32.Ntldrbot. 26 командных центров ботнета стали недоступны, и сотни тысяч ботов, оставшись без управления, впали в спячку.
По оценкам Microsoft, компьютер, заражённый Win32.Ntldrbot, рассылал до 10000 писем в час. При этом, по данным некоторых экспертов, в спам-сеть входило порядка 815 тысяч ботов. Таким образом, суммарный спам-трафик, создаваемый ботнетом Win32.Ntldrbot, можно оценивать в несколько миллиардов сообщений в сутки. Ответственность за обезглавливание ботнета Win32.Ntldrbot взяла на себя корпорация Microsoft, которая провела операцию совместно с американскими властями.
Win32.Ntldrbot, первые известные образцы которого датируются 2005 годом, стал одним из самых высокотехнологичных и сложных представителей актуального троянского ПО. Разработчик Win32.Ntldrbot несколько лет совершенствовал эту программу, а разбор кода троянца послужил источником множества аналитических публикаций.
Юридическим обоснованием операции был гражданский иск Microsoft против неустановленных лиц, стоявших за данным ботнетом. По распространённой версии, злоумышленниками являются наши соотечественники.
Пока сложно давать прогнозы относительно будущего спам-индустрии. Тот ощутимый урон, который нанесло ей закрытие крупнейшей спам-сети, может быть быстро возмещён ростом других ботнетов. Лидирующие позиции в распространении спама уже занял давно известный ботнет Win32.HLLM.Beagle, активность которого последние несколько лет была низкой. Обе спам-сети специализируются на т. н. фарм-спаме – рекламе лекарственных препаратов.
В дальнейшем стоит также быть готовыми к изменению архитектуры ботнетов в сторону децентрализации. Также высказываются предположения о возможности восстановления ботнета Win32.Ntldrbot.