FBI tvrdí, že botnet Coreflood je definitivně v troskách. Když začal v
dubnu zásah, ovládala tato síť údajně asi 800 000 infikovaných
počítačů, nyní tento počet stejně jako aktivita provozu mezi počítači
a řídicími servery poklesly o více než 95 %.
Zajímavé ovšem je, že zásah tentokrát neměl obvyklou podobu pouhého odstavení řídicích serverů. FBI naopak spustila vlastní server, který
komunikoval s infikovanými počítači a malware z nich odstraňoval. Tady
operace Adeona narazila na obvyklý problém, pro který se takhle asi
nedá postupovat univerzálně – vzdálená manipulace s počítačem bez
souhlasu jeho vlastníka je přirozeně právně velmi ošemetnou věcí.
FBI proto spustila náhradní server, který infikovaným počítačům pouze
zakazoval komunikaci s řídicími servery podvodníků a malware
deaktivoval. Poté úřady ve spolupráci s poskytovateli Internetu
pokusily identifikovat majitele postižených počítačů a žádaly je o
souhlas s trvalým odstraněním škodlivých kódů. Tahle část úspěšná
ovšem zrovna nebyla, protože s odpovědí/souhlasem se obtěžovalo jen
minimum uživatelů. Nicméně lze předpokládat, že mnozí tak byli alespoň
na infekci upozornění a problém pak vyřešili vlastními silami. Stejně
tak byly kódy nejnovějších verzí botnetu postupně přidány do
antivirových definic.
Falešný řídicí server splnil svůj účel, další monitoring podle FBI již
netřeba a server bude zřejmě vypnut.
V době své existence od roku 2002 Coreflood infikoval celkově přes 2
miliony počítačů. Akce FBI a postup Microsoftu proti botnetu Rustock
zřejmě představují dosud řídké příklady toho, kdy se úsilí o likvidaci
botnetu podařilo dotáhnout do konce, nebo alespoň téměř do konce.
Zdroj: The Register