Что такое компьютер зомби
Что бы вы там себе не думали, а зомби существуют. И они действительно едят мозги. Не человеческие, правда, а компьютерные. Я говорю сейчас о зомби-процессах и потребляемых ими ресурсах. Это будет душераздирающая история о потерянных и снова найденных 32 ГБ оперативной памяти. Возможно, лишь некоторые из вас столкнутся с точно такой же проблемой, но если вдруг это произойдёт — у вас хотя бы будет шанс понять, что происходит.
Начнём с того, что компьютеры под управлением ОС Windows склонны со временем терять память. Ну, по крайней мере, у меня, при моём способе ими пользоваться. После пары недель без перезагрузок (или, например, всего одного уикэнда за который я 300 раз пересобрал Хром) я стал замечать, что диспетчер задач начинает показывать мне очень маленькое количество свободной оперативной памяти, но в то же время в системе нет никаких процессов, которые эту самую память активно используют. В том примере выше (с 300 сборками Хрома) диспетчер задач сказал мне, что в системе занято 49.8 ГБ плюс ещё 4.4 ГБ памяти сжато — но при этом запущено всего несколько процессов, и все они в сумме даже и близко не используют столько памяти:
В моём компьютере 96 ГБ оперативной памяти (да, я счастливчик) и когда у меня нет вообще никаких запущенных процессов — я, знаете ли, хотел бы видеть ну хотя бы половину этой памяти свободной. Я правда рассчитываю на это. Но иногда этого достичь не удаётся и мне приходится перезагружать ОС. Ядро Windows написано качественно и надёжно (без шуток), так что память не должна бы пропадать бесследно. Но всё же она пропадает.
Первой же моей догадкой стало воспоминание о том, что один из моих коллег как-то жаловался на зомби-процессы, которые иногда остаются в ОС уже не активными, но всё же ещё не до конца удалёнными ядром. Он даже написал специальную утилиту, которая выводит список таких процессов — их имена и количество. Когда он запускал эту утилиту в своих тестах, то получал до нескольких сотен зомби-процессов на обычной Windows-машине. Я нашел его инструмент, запустил на своём компьютере и получил… 506 000 зомби-процессов. Да, 506 тысяч!
Я вспомнил, что одной из возможных причин перехода процесса в состояние «зомби» может быть то, что какой-то другой процесс держит открытым его дескриптор (handle). В моём случае большое количество зомби-процессов играло мне на руку — им было сложнее скрыться. Я просто открыл диспетчер задач и добавил на вкладку Details столбец с количеством открытых дескрипторов для каждого процесса. Затем отсортировал список по убыванию значений в этом столбце. Я сразу нашел героя данной истории — процесс CcmExec.exe (часть Microsoft System Management Server) имел 508 000 открытых дескрипторов. Это было во-первых, очень много, а во-вторых, подозрительно близко к найдненному мною выше числу в 506 000 зомби-процессов.
Я убил процесс CcmExec.exe и получил следующий результат:
Всё получилось ровно так, как я того и ожидал. Как я без иронии писал выше — ядро Windows написано очень хорошо и когда процесс уничтожается, то и все занятые им ресурсы освобождаются. Закрытие CcmExec.exe освободило 508 000 дескрипторов, что дало возможность окончательно закрыть 506 000 зомби-процессов. Количество свободной оперативной памяти мгновенно выросло на 32 ГБ. Тайна раскрыта!
Как защитить детей в интернете во время коронавируса
Ваш компьютер зомби?
В большинстве случаев заражение зомби не является преднамеренным — это означает, что хакеры не намеренно выбирают конкретный компьютер для зомбирования. Во всяком случае, компьютеры зомбируются заразным контактом с вредоносными ссылками и вирусными электронными письмами. Поэтому, если ваш компьютер зомби, не думайте, что кто-то хочет вас достать.
Суть вредоносных программ и вирусных инфекций заключается в том, что они не хотят быть обнаруженными, а это означает, что может быть трудно определить, является ли ваш компьютер зомби. К счастью, есть несколько способов, которые могут указать вам правильное направление. Посмотрите на эти симптомы на вашем компьютере:
Если вы заражены зомби, лучше всего выполнить сканирование вашей системы с использованием антивирусных и антивирусных программ. Мои собственные рекомендации включают в себя Malwarebytes Anti-Malware и Lavasoft Ad-Aware Pro
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.
Как защитить детей в интернете во время коронавируса
Предотвращение зомби-инфекций
Лучшая защита от зомби-инфекций — это серьезное преступление, означающее упреждающий подход к защите себя от вредоносных программ. Вот несколько способов сохранить себя максимально безопасным:
- Патч интернет-приложений как можно чаще. Такие вещи, как браузеры, программы чата, облачные сервисы хранения и другие — все эти вещи требуют доступа в Интернет. Уязвимость безопасности в программе может оставить дыру открытой для использования вредоносным ПО.
- Регулярно запускайте антивирусные и антивирусные программы. Это будет выявлять проблемы на регулярной основе, сохраняя ваш компьютер от заражения слишком долго.
- Используйте брандмауэр. Я знаю, что иногда это может раздражать, но в советах по безопасности всегда рекомендуется использовать брандмауэр, потому что брандмауэры работают. Не пренебрегай этим.
- 7 важных советов по безопасности электронной почты, о которых вы должны знать
- 5 распространенных ошибок безопасности, которые могут поставить под угрозу вашу конфиденциальность и деньги
Практикуйте безопасные интернет-привычки и всегда остерегайтесь подозрительных ссылок. Если у вас есть вредоносная программа, удалите ее как можно скорее. Но, тем не менее, не бойтесь и не будьте параноиком от зомби-инфекций. Да, инфекции раздражают, но они не разрушат вашу систему. Просто будьте начеку, и все будет в порядке.
Что такое глубокий и теневой интернет?
TrickBot – многоцелевой ботнет
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Почему у меня на компьютере возникают такие странные проблемы?
Я работаю над кодом Windows-версии Хрома и одной из моих задач является оптимизация его сборки на этой ОС, а это требует многократных запусков этой самой сборки. Каждая сборка Хрома запускает огромное множество процессов — от 28 000 до 37 000 в зависимости от выбранных настроек. При использовании нашей распределённой системы сборки (goma) эти процессы создаются и закрываются очень быстро. Мой лучший результат сборки Хрома — 200 секунд. Но столь агрессивная политика запуска процессов выявляет и проблемы в ядре Windows и её компонентах:
- Быстрое удаление процессов ведёт к зависаниям пользовательского ввода
- Драйвер тачпада выделяет, но не освобождает память при каждом создании процесса
- App Verifier создаёт O(n^2) лог-файлов (и об этом стоит написать отдельный пост!)
- Есть баг в ядре Windows, который касается буферизации файлов, и этот баг воспроизводится на всех Windows от Server 2008 R2 до Windows 10
- Windows Defender задерживает запуск каждого процесса goma на 250 мс
Риски безопасности и конфиденциальности в виртуальной и дополненной реальности
Спамеры
Избранные статьи
Кража данных
В отдельных случаях вредоносное ПО в составе ботнета может не только красть данные из формы заполнения, что уже само по себе опасно, но и подменять или модифицировать нужную веб-страницу, запрашивая данные, которые в нормальном режиме не вводятся, например PIN-код к карте.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
Использование сети зомби-компьютеров для проведения DDoS-атак
Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.
Как работает DDoS-атака
Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:
- Существенное замедление время ответа на запросы.
- Отказ в обслуживании всех запросов пользователей или части из них.
Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Распределенные сетевые атаки / DDoS
DDoS-атака – это способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети. Научитесь защищать свою систему.
Избранные статьи
Природа современных DDoS-угроз
В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:
- Полицейские расследования, которые привели к аресту преступников по всему миру
- Технические контрмеры, которые успешно применяются для противодействия DDoS-атакам
Другие статьи и ссылки по теме «Распределенные сетевые атаки»
Сувенирный портал Lab Shop
Здесь вы можете приобрести сувенирные продукты с корпоративной символикой «Лаборатории Касперского».
Задумывались ли вы, откуда весь интернет-спам? Вы, вероятно, получаете сотни спам-отфильтрованных нежелательных писем каждый день. Означает ли это, что сотни и тысячи людей сидят и отправляют их вручную? К сожалению нет. Процесс в основном выполняется компьютерами-зомби.
Вау! Компьютеры зомби? Это звучит опасно, страшно и немного апокалиптически, не так ли? В каком-то смысле это могло бы быть истинным описанием. Во всем мире существуют миллионы зомбированных компьютеров, которые совершают ужасные действия, такие как рассылка спама и вредоносных программ. Это еще не конец света, но это определенно хлопот. И что хуже всего, ваш компьютер может быть одним из тех зомби.
Как защититься
Однако совсем отчаиваться не стоит. Есть ряд несложных мер, которые точно помогут снизить риск заражения вашей техники.
1. Не отмахивайтесь от предупреждений файервола о подозрительной сетевой активности установленных приложений, в особенности если установленная программа не подразумевает работы в Интернете.
2. Поменяйте пароли по умолчанию в роутерах, веб-камерах, принтерах, Wi-Fi-холодильниках и во всех остальных устройствах, подключенных к Интернету. Вообще любое устройство с подключением к Сети имеет смысл проверить на возможность установки и смены пароля.
3. Всегда устанавливайте обновления безопасности — и для самой операционной системы, и для остальных программ.
4. На стационарном компьютере или ноутбуке работайте не из-под учетной записи администратора, а из специально созданного аккаунта с ограниченными правами. На смартфонах и планшетах не держите постоянно включенным рут-доступ, а лучше вообще не используйте его.
5. Не пренебрегайте обновлениями безопасности — и самой операционной системы, и остальных программ.
6. Избегайте сайтов-помоек с пиратскими версиями программ и ломалками для лицензионного софта. Подобные сайты — излюбленное место ботоводов и других киберпреступников. На них они распространяют свой вредоносный софт.
7. Если вы все-таки скачиваете что-то подобное с торрентов или из других небезопасных мест, проверяйте все файлы с помощью антивируса.
8. Пользуйтесь не просто антивирусом, а связкой «антивирус + файервол» или сразу покупайте комплексный пакет, который выполняет обе функции, например Kaspersky Internet Security.
Распределенные сетевые атаки часто называются распределёнными атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Этот тип атаки использует определенные ограничения пропускной способности, которые характерны для любых сетевых ресурсов, например, инфраструктуре, которая обеспечивает условия для работы сайта компании. DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта обрабатывать их все . и вызвать отказ в обслуживании.
Стандартные цели DDoS-атак:
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Основные атаки программ-вымогателей
Что дальше?
Если вы работаете не на компьютере, управляемом политиками компании, то процесс CmmExec.exe у вас не запущен и с конкретно данным багом вы не столкнётесь. Также он коснётся вас только если вы собираете Хром или делаете ещё что-то похожее, создавая и закрывая при этом десятки тысяч процессов в короткие промежутки времени.
CcmExec — не единственная в мире программа с багами. Я нашел много других, содержащих в себе конкретно этот же тип ошибок, приводящих к созданию зомби-процессов. И есть ещё огромное множество тех, которые я не нашел.
Как знают все опытные программисты, любая ошибка, которая не была явно исправлена или предупреждена — точно когда-то произойдёт. Просто написать в документации «Пожалуйста, закройте этот дескриптор» — не достаточно. Так что вот мой вклад в то, чтобы сделать нахождение подобного типа ошибок проще, а их исправление — реальнее. FindZombieHandles — это инструмент, основанный на NtApiDotNet и коде от @tiraniddo, который выводит список зомби-процессов и информацию о том, кто сделал их зомби. Вот пример вывода данной утилиты, запущенной на моём компьютере:
274 зомби — это ещё не так плохо. Но уже и это указывает на определённые проблемы, которые могут быть найденны и исправлены. Процесс IntelCpHeciSvc.exe в этом списке имеет самые большие проблемы — похоже на то, что он открывает (и забывает закрыть) дескриптор процесса каждый раз, когда я открываю видео в Windows Explorer.
Visual Studio забывает закрыть дескрипторы как минимум двух процессов, в одном случае это воспроизводится всегда. Просто запустите сборку проекта и подождите ~15 минут пока процесс MSBuild.exe закроется. Можно также выставить опцию “set MSBUILDDISABLENODEREUSE=1” и тогда MSBuild.exe закроется сразу по окончанию сборки и потерянный дескриптор будет виден сразу. К сожалению, какой-то негодяй в Microsoft исправил эту проблему и фикс должен выйти в обновлении VS 15.6, так что поторопитесь воспроизвести её, пока это ещё работает (надеюсь, не нужно объяснять, что это была шутка и никакой он на самом деле не негодяй).
Также вы можете использовать для просмотра забытых процессов программу Process Explorer, сконфигурировав её нижнюю панель так, как это показано ниже (заметьте, что в этом случае будут показаны забытые дескрипторы как для процессов, так и для потоков):
Вот пару примеров найденных багов (о некоторых сообщено разработчикам, но не о всех):
- Утечка в CcmExec.exe (описанный выше случай с 500 000 зомби) — разработчики работают над исправлением
- Утечка в Program Compatibility Assistant Service — проблема исследуется
- Утечка в devenv.exe + MSBuild.exe (проблема уже исправлена)
- Утечка в devenv.exe + ServiceHub.Host.Node.x86.exe (багрепорт отправлен)
- Утечка в IntelCpHeciSvc.exe + Video.UI.exe для каждого открытого видеофайла (Intel приняла багрепорт и переслала его в Lenovo)
- Утечка в RuntimeBroker.exe + MicrosoftEdge и Video.UI.exe (возможно, имеет отношение к некоторым другим багам в RuntimeBroker.exe)
- Утечка в AudioSrv + Video.UI.exe
- Утечка в одном внутреннем инструменте Google из-за использования старой версии psutil
- Утечка в утилитах от Lenovo: tphkload.exe теряет один дескриптор, SUService.exe теряет три
- Утечка в Synaptic’s SynTPEnh.exe
Используя Process Explorer, я заметил, что NVDisplay.Container.exe открывает ~5000 дескрипторов на событие \BaseNamedObjects\NvXDSyncStop-61F8EBFF-D414-46A7-90AE-98DD58E4BC99, создавая новый дескриптор каждые две минуты. Я так понимаю, они хотят быть супер-уверены в том, что могут остановить NvXDSync? Багрепорт Nvidia отправлен.
Corsair Link Service создаёт ~15 дескрипторов в секунду, не освобождает их совсем. Багрепорт отправлен.
Adobe’s Creative Cloud теряет тысячи дескрипторов (около 6500 в день, по моим подсчётам). Багрепорт отправлен.
Удивительно, что никто до этого особо не обращал внимание на подобные баги. Эй, Microsoft, возможно, стоит собирать статистику по таким случаям и что-то предпринимать по этому поводу? Эй, Intel и Nvidia, почистите немного ваш код. Помните, я наблюдаю за вами.
А теперь вы можете взять утилиту FindZombieHandles, запустить её на вашей машине и рассказать о своих находках. Также вы можете использовать в экспериментах диспетчер задач и Process Explorer.
Риски безопасности и конфиденциальности в виртуальной и дополненной реальности
Связаться с нами
Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
TrickBot – многоцелевой ботнет
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
Сувенирный портал Lab Shop
Здесь вы можете приобрести сувенирные продукты с корпоративной символикой «Лаборатории Касперского».
Что такое ботнеты, чем они опасны и как защититься — вся нужная информация в одном посте.
Слово «ботнет» сейчас у многих на слуху. И это неудивительно, ведь частью такой зомби-сети может стать практически любое устройство с доступом в Интернет. Даже в самой технологически аскетичной семье обычно есть стационарный компьютер, пара смартфонов и домашний Wi-Fi-роутер. Все они однажды могут превратиться в марионетки киберпреступников.
Что представляют собой зомби-сети, чем они опасны и как не позволить преступникам перехватить управление над своими устройствами — на все эти вопросы мы постараемся ответить в этом посте.
Что такое ботнет?
Итак, ботнет состоит из любых устройств с доступом в Интернет, до которых без ведома пользователей добралась вредоносная программа, перехватила права администратора и передала управление в руки злоумышленников. Происходит это скрытно, и взломанное устройство продолжает работать как обычно — но одновременно выполняет указания киберпреступников. Чаще всего преступники заражают не одно, а много тысяч устройств и объединяют их в одну сеть — botnet, или «сеть ботов».
Создание ботнета — это лишь этап, а не конечная цель преступников. Из зараженных устройств формируется мощная инфраструктура для проведения разнообразных кибератак. Некоторые ботоводы занимаются только расширением и поддержанием зомби-сети, чтобы сдавать ее в аренду другим преступникам, специализирующимся уже на какой-нибудь конкретной вредоносной деятельности. Вот четыре основных направления того, что могут делать хозяева ботнетов и их клиенты с компьютерами своих жертв.
Основные атаки программ-вымогателей
Что такое зомби-процесс?
До этого момента мы ещё не выяснили, что же заставило все эти процессы зависнуть в неопределённости, а не быть удалёнными. Похоже на то, что мы имеем дело с тривиальным багом в приложении (а не в ядре ОС). Общее правило гласит, что когда вы создаёте процесс, то получаете его дескриптор и дескриптор его главного потока. Вы ОБЯЗАНЫ закрыть эти дескрипторы. Если вашей задачей было просто запустить процесс — их можно закрыть сразу же (это не убъёт запущенный процесс, а просто разорвёт связь вашего процесса с ним). Если новый процесс вам для чего-то нужен (например, вы ждёте окончания его работы или вам нужен код, который он вернёт) — то нужно воспользоваться соответствующими функциями (например, WaitForSingleObject(hProcess, INFINITE) для ожидания выхода или GetExitCodeProcess(hProcess, &exitCode) для получения кода возврата) и всё-равно закрыть дескрипторы после того, как вы получили от дочернего процесса всё, чего хотели. Аналогично следует и поступать и с дескрипторами процессов, которые вы для чего-нибудь открываете с помощью функции OpenProcess().
Если процесс, который забывает так поступать, относится к системным, то вам даже может не помочь выйти из своего аккаунта и снова залогиниться, только полная перезагрузка.
Что такое компьютер-зомби?
Мы не говорим о компьютерах, которые восстали из мертвых — это было бы довольно захватывающее собственное расследование. Вместо этого, когда мы говорим о компьютерах-зомби, мы описываем компьютер, который был заражен и захвачен третьей стороной. В большинстве случаев это зомбирование происходит с помощью вредоносных программ, троянов и вирусов.
Что происходит, когда ваш компьютер превращается в темную сторону? Это может контролироваться третьей стороной — независимо от того, является ли эта третья сторона отдельным человеком, группой людей или даже корпорацией — чтобы делать вещи без вашего ведома. Например, рассылка спам-писем или атака типа «отказ в обслуживании».
Когда человек имеет в своем распоряжении армию компьютеров-зомби, эти армии называются «ботнетами». Ботнеты используются для причинения вреда через Интернет, потому что их так сложно отследить до исходного контроллера. Большинство владельцев ПК даже не понимают, что их компьютеры делают ставки другого.
Как не допустить, чтобы ваш компьютер использовали для спам-рассылок
Эффективная антивирусная программа может защитить ваши устройства от троянских программ, которые заражают компьютеры и включают их в зомби-сеть. «Лаборатория Касперского» предлагает надежные антивирусы, которые защищают от вирусов, троянских программ, червей и других киберугроз следующие устройства:
- ПК на базе Windows;
- компьютеры Mac;
- смартфоны;
- планшеты
Другие статьи и ссылки, связанные со спамом
Что такое глубокий и теневой интернет?
Связаться с нами
Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Хранение и распространение
Кроме того, ботнеты используются для поиска уязвимостей в еще не зараженных устройствах, установки новых копий самих себя, а также как транспортная сеть для доставки сторонних вирусов, троянов и… совершенно верно — загрузчиков других зомби-сетей.
Как видите, жертвы ботнета потенциально могут столкнуться с целым спектром самых разнообразных неприятностей.
Для чего спамеры используют зомби-сети
При применении троянской программы для организации зомби-сети из нескольких тысяч – или даже десятков тысяч – зараженных компьютеров спамеры получают следующие преимущества:
Куда же девается память?
Ещё одним инструментом, который я использовал в своём исследовании, была утилита RamMap. Она показывает использование каждой страницы памяти. На вкладке Process Memory мы видим сотни тысяч процессов, каждый из которых занимает 32 КБ оперативной памяти — очевидно, это и есть наши зомби. Но ~500 000 раз по 32 КБ будет равно примерно 16 ГБ — куда же делась остальная память? Сравнение состояния памяти до и после закрытия зомби-процессов даёт ответ на этот вопрос:
Мы можем чётко увидеть, что ~16 ГБ уходит на Process Private Memory. Также мы видит, что ещё 16 ГБ приходится на Page Table Memory. Очевидно, что каждый зомби-процесс занимает 32 КБ в таблице страниц памяти и еще 32 КБ использует для своей личной памяти. Я не знаю для чего зомби-процессу так много памяти, но, наверное, никто никогда не думал, что число таких процессов может измеряться сотнями тысяч.
Некоторые типы занятой памяти увеличились после закрытия процесса CcmExec.exe, в основном это касается Mapped File и Metafile. Я не знаю точно, почему так получилось. Одной из моих догадок является то, что ОС решила, что свободной памяти теперь достаточно и что-то себе закешировала. Это, в общем, не плохо. Мне не жаль памяти для нужд ОС, я просто не хочу, чтобы она пропадала совсем уж бесцельно.
Важное замечание: RamMap тоже открывает дескрипторы всех процессов, так что эту утилиту следует закрыть, если вы хотите добиться закрытия зомби-процессов.
Я написал твит о моей находке и исследование продолжил другой программист, который сумел воспроизвести данный баг и передать информацию о нём разработчику из Microsoft, который сказал, что это «известная проблема, которая иногда случается, когда очень много процессов запускаются и закрываются очень быстро».
Я надеюсь, что данная проблема будет скоро исправлена.
DDoS-атаки
Подобные атаки, несмотря на всю их примитивность, до сих пор остаются грозным оружием хакеров. Их актуальность будет только расти вместе с увеличением числа подключенных к Интернету гаджетов. Дело в том, что для организации DDoS-атаки подойдет любое, даже самое примитивное устройство вроде автономной камеры видеонаблюдения или бытовой техники.
Можно сколь угодно смеяться над Wi-Fi-чайниками и холодильниками, но эпоха Интернета вещей уже пришла: сейчас IoT-устройства исчисляются сотнями миллионов, а в будущем счет пойдет на миллиарды. За примером далеко ходить не надо — недавно с помощью подобного IoT-ботнета неизвестные смогли серьезно нарушить работу более восьми десятков крупных онлайн-сервисов, включая Twitter, Amazon, PayPal и Netflix.
Если у вас не очень хорошо работает спам-фильтр, то вы прекрасно представляете себе, сколько мусорных писем может прийти на самый обычный электронный адрес. Но далеко не все в курсе, что за большинством спам-рассылок также стоят зомби-сети, ведь провайдеры и специальные агентства жестко преследуют спамеров, блокируя не только их почтовые аккаунты, с которых осуществляется рассылка, но и IP-адреса.
Поэтому злоумышленники для рассылки спама прикрываются адресами компьютеров из ботнета — их подставить не жалко. Кроме рассылок нежелательных писем зомби-сети выполняют и обратную задачу — крадут с зараженных компьютеров адрес почты владельцев, а также все электронные адреса, которые удастся вытащить из списка контактов. Потом эти украденные адреса пополняют спам-базы для рассылок, и круг замыкается.
Читайте также: