Наступление "Коммунизма"

Компания Microsoft опубликовала в своём блоге данные по русскоязычной зомби-сети, содержащей в пике до 35 тыс. зомби-машин (17 декабря 2013 года) и составленной при помощи вредоносной программы Win32/Redyms или Ramdo. Изначально она называлась "Андромеда", но с марта 2013 года авторы вредоноса переназвали её "Коммунизм" и даже оформили сайт в соответствующей стилистике.

В середине марта прошлого года авторы провели рекламную компанию и с тех пор активно развиваются. В частности, осенью прошлого года её создатели попытались занять рынок, освободившийся после ареста в сентябре создателей зомби сети Zaccess, поэтому создатели сети активно работали в конце прошлого года и в начале нового. Правда, 12 декабря прошлого года в новостях было зафиксировано сообщение о том, что владельцам сети больше не нужны партнёры. Последняя новость датируется 1 апреля 2014 года. На конец марта 2014 года в ней активно работало около 3 тыс. зомби-компьютеров.

По данным Microsoft зомби-сеть зарабатывала на мошенничестве с кликами, но также предоставляет и другие сервисы зомби-сетей, такие как возможность заражения, воровство информации и многое другое. Одна из изюминок этой сети в защите от обнаружения и анализа. В частности, вредонос использует специальный алгоритм генерации доменов для коандных серверов. Кроме того, он определяет запущен ли он в виртуальной среде и сообщает об этом в командный сервер - часто в ответ приходит ошибка. Сам вредонос при получении ответа от командного сервера выполняет обратный запрос DNS, пытаясь определить действительно ли его сервер послал команду или взаимодествие было перехвачено. Тем не менее сотрудникам Microsoft вполне удалось проанализировать вредонос и настроить свои системы на контроль его активности.