Ботнет Cutwail практично повністю відновив свою активність всього через 48 годин після відключення пов'язаного з ним інтернет-провайдера. Про це пише Ars Technica.
Ризький провайдер Real Host, якого підозрюють в змові із кібер-злочинцями, був відключений від інтернету 1 серпня 2009 року. Це призвело до негайного зниження кількості спаму, що розсилається в світі, на 38 відсотків. Але через декілька днів активність спамерів повернулася на колишній рівень.
Real Host звинуватили в підтримці центрів ботнетов, хостингу шкідливих і підроблених ("фішингових") веб-сайтів, а також в розсилці спаму. Велика частина спаму, що проходить через сервери провайдера, була пов'язана з ботнетом Cutwail. Ця мережа входить в список найбільших в світі ботнетів разом з Xarvester, Rustock, Mega-D і DonBot, повідомляється у серпневому звіті Message Labs.
Після відключення Real Host активність ботнета Cutwail впала на 90 відсотків. Але успіх виявився короткочасним - вже через 48 годин кількість спаму, що розсилається через Cutwail, повернулася на колишній рівень. Заражені комп'ютери, що входять в ботнет, одержавши нові інструкції, переорієнтовувалися на інші центри.
Останнє покоління ботнетів відрізняється підвищеною життєздатністю, пише Ars Technica. Коли минулого року був закритий американський інтернет-провайдер McColo, то пов'язаним з ним ботнетам для відновлення активності було потрібно декілька тижнів.
У звіті Message Labs також наголошується, що спамери все частіше використовують у своїх розсилках сервіси скорочення інтернет-адрес, такі як TinyURL. Це допомагає їм приховати справжню адресу рекламованих сайтів. Особливо активна в цьому відношенні мережа DonBot.
Оператори ботнетів скритно встановлюють на заражені комп'ютери програму, яка періодично звертається по різних інтернет-адресах в пошуку центру, що управляє. Адреси генеруються на основі складних алгоритмів, а для зв'язку із зомбі-машинами використовуються канали IRC і навіть Twitter. Ботнети завичай займаються крадіжкою персональних і банківських даних. Часто їх здають в оренду іншим злочинцям для розсилки спаму або здійснення DDoS-атак.
На початку 2009 року дослідники з Каліфорнійського університету змогли на 10 днів перехопити контроль над ботнетом Torpig, також відомим як Sinowal. За цей час вони зафіксували понад 180 тисяч нових випадків зараження і отримали майже 80 гігабайт персональних даних, які заражені машини пересилали в центр, що управляє.