Eksperci z Kaspersky Lab odegrali kluczową rolę w wyłączaniu botnetu, śledząc jego aktywność od początku 2011 r. Właśnie wtedy firma zaczęła współpracować z Microsoftem i udostępniła opracowany przez siebie specjalny system pozwalający na monitorowanie aktywności tej sieci zainfekowanych komputerów w czasie rzeczywistym. Kaspersky Lab zadbał także o to, by uniemożliwić cyberprzestępcom kontrolowanie botnetu. Specjaliści z firmy dokonali szczegółowej analizy kodu wykorzystywanego do tworzenia sieci zainfekowanych komputerów, złamali protokół komunikacyjny wykorzystywany przez przestępców, wykryli słabe punkty w infrastrukturze botnetu i stworzyli narzędzia pozwalające na zlikwidowanie zagrożenia. Ponadto, ekspertom z Kaspersky Lab udało się dołączyć do botnetu własny, specjalnie przygotowany system, przejąć kontrolę nad siecią należącą do cyberprzestępców i doprowadzić do całkowitego jej wyłączenia.
Doceniając zasługi ekspertów z Kaspersky Lab w wyeliminowaniu zagrożenia, Richard Boscovich, starszy pełnomocnik w dziale Digital Crimes firmy Microsoft, powiedział: "Kaspersky Lab odegrał kluczową rolę w akcji, dostarczając nam szczegółowe dane uzyskane na podstawie analizy technicznej oraz unikatową wiedzę na temat botnetu Kelihos. Dzięki tym informacjom udało się skutecznie zlikwidować botnet. Jesteśmy bardzo wdzięczni za udzieloną pomoc oraz za determinację ekspertów z Kaspersky Lab w czynieniu Internetu bezpieczniejszym miejscem".
„Od 26 września 2011 r., kiedy uruchomiliśmy procedurę wyłączenia botnetu Kelihos, cyberprzestępcy utracili możliwość korzystania z tej sieci zainfekowanych komputerów” – mówi Tillmann Werner, starszy analityk zagrożeń z Kaspersky Lab. „Dzięki temu, że nasz specjalny system został włączony do botnetu, możemy teraz na bieżąco śledzić infekcje w poszczególnych krajach. Dotychczas wykryliśmy ponad 61 tysięcy zainfekowanych maszyn i pracujemy z dostawcami usług internetowych, by całkowicie wyeliminować zagrożenie spowodowane przez Kelihosa”.
Kelihos to sieć zainfekowanych plików działająca na zasadzie P2P (podobnie jak popularne platformy torrent do współdzielenia plików w Internecie). Składa się z wielu warstw zainfekowanych komputerów: kontrolerów, routerów i stacji roboczych. Kontrolery to maszyny obsługiwane przez cyberprzestępców odpowiedzialnych za stworzenie botnetu. Służą one do przesyłania poleceń do szkodliwych programów działających na zainfekowanych komputerach i nadzorowania dynamicznej struktury sieci. Routery to zainfekowane komputery posiadające publiczne adresy IP. Pozwalają na wysyłanie spamu, gromadzenie adresów e-mail, podsłuchiwanie pracy użytkowników itd.
Microsoft ogłosił, że dodał procedury wykrywające szkodliwe oprogramowanie związane z botnetem Kelihos do swojego rozwiązania Malicious Software Removal Tool. Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed szkodliwymi programami związanymi z botnetem Kelihos.
Współpraca firm Kaspersky Lab oraz Microsoft trwa już od dłuższego czasu. Przed wspólnym zlikwidowaniem botnetu Kelihos firmom udało się zneutralizować zagrożenie wywołane przez robaka Stuxnet, który zainfekował przemysłowe systemy kontroli wykorzystywane, między innymi, w elektrowniach atomowych.
Kaspersky Lab dziękuje firmie SURFnet (http://www.surfnet.nl) za pomoc w omawianej akcji, a w szczególności za dostarczenie infrastruktury, która pozwoliła na wyłączenie botnetu.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.