Akcja b70 zakończona, Nitol już prawie nieszkodliwy

Pracownicy Digital Crimes Unit z szeregów Microsoftu w sierpniu ubiegłego roku kupili (PDF) w kilku chińskich miastach 20 komputerów z zainstalowanym Windowsem — stacjonarnych i laptopów. Systemy zostały dogłębnie zbadane. Na jednym z nich znaleziono wirusa będącego częścią botnetu Nitol, na trzech innych wykryto inne robaki. To, że w chińskich sklepach można trafić na urządzenia z już zainstalowanymi wirusami pewnie nikogo nie dziwi, tu jednak mamy konkretne liczby — 20% komputerów kupionych w losowych sklepach było zainfekowanych. Winą za to początkowo obarczeni zostali producenci, którzy w Chinach chętnie instalują pirackiego Windowsa na komputerach przeznaczonych na sprzedaż. Bardziej prawdopodobne jest jednak, że wirusy trafiały na maszyny później — na przykład przy przepakowywaniu maszyn na jednym z etapów transportu do sklepów… Infekcje związane z Nitolem były najliczniejsze w Azji, ale na innych kontynentach również zanotowano takie przypadki (poniżej mapa pochodząca z raportów Microsoftu).

Dochodzenie wykazało, że około 500 szczepów szkodników łączy się z 70 tysiącami poddomen związanych między innymi z 3322.org — domeną, której kryminalna przeszłość sięga 2008 roku. Dwa tygodnie temu Sąd Dystryktowy w stanie Virginia przyznał Microsoftowi prawo do zbadania i uśmiercenia tego botnetu. Domeny zostały wczoraj przejęte przez Microsoft, a rezydujący w Chinach właściciel 3322.org, Peng Yong, zgodził się współpracować z zajmującą się interwencjami tego typu jednostką Microsoftu i Chinese Computer Emergency Response Team. Wszystkie połączenia z zainfekowanych komputerów będą przekierowane do bezpiecznego serwera i stworzona została „czarna lista” poddomen zablokowanych, a odpowiedzialnymi za nie osobami zajmą się już chińskie władze.

Skala problemu jest ogromna. Z prostego eksperymentu wynika, że do sprzedaży mogą trafiać komputery z systemem już zawierającym szkodliwe oprogramowanie, jak na przykład keyloggery czy boty spamujące, a przypadek Nitola nie jest przecież odosobniony. Podczas 16 dni monitorowania botnetu, Microsoft zablokował ponad 600 milionów połączeń z prawie 8 milionów adresów IP (dostawcy zostali o tym poinformowani), a prawdopodobnie nadal nie ma pełnej listy używanych przez niego domen. Wygląda na to, że o bezpieczeństwo użytkownika musi dbać nie tylko producent oprogramowania, ale też sprzedawca, dystrybutorz i kierowcy ciężarówek przewożący komputery do sklepów.