Ботнет Kelihos/Hlux значительно сократился в размерах

Ботнет Kelihos/Hlux значительно сократился в размерах

По оценке «Лаборатории Касперского», в настоящее время в состав ботнета-спамера Hlux, он же Kelihos, входят порядка 1 тыс. активных пиров (IP-адресов). Большинство зараженных машин работают под Windows XP, около половины имеют польскую прописку. Оценка произведена по результатам мониторинга подключений к sinkhole-серверу «Лаборатории», внедренному в бот-сеть в марте прошлого года.



Как показывает статистика, размеры Hlux/Kelihos резко сократились уже к июлю 2012 года. «Ботнет становится всё меньше и меньше, ― констатирует эксперт «Лаборатории Касперского» Стефан Ортлоф, ― жертвы со временем вылечили свои компьютеры или переустановили ОС. В настоящий момент мы фиксируем в среднем около 1000 уникальных ботов в месяц». Напомним: в сентябре 2011 года, при первой совместной попытке ликвидации Hlux, «лаборанты» насчитали в его составе 49 тыс. уникальных IP-адресов, в марте 2012-го, в ходе второго «штурма», ― свыше 110 тысяч, передает cybersecurity.ru.

По данным «Лаборатории», в настоящее время более 86% активных ботов Hlux работают под Windows XP, около 15% ― под Windows Server 2008. Соответствующие заражения обнаружены в 88 странах, в этом рейтинге с заметным отрывом лидирует Польша (44%).

Поток нелегитимных сообщений, генерируемых Hlux, тоже заметно сократился. Согласно статистике Trustwave, которая исправно отслеживает производительность ботнетов-спамеров, в минувшем мае на долю Hlux приходилось около 60% почтового мусора, в июле – 17%, а в начале ноября лишь 7,6%.

Как уже неоднократно отмечалось, р2р-ботнеты обладают повышенной живучестью. Hlux, обладающий развитой пиринговой инфраструктурой, уже пережил несколько попыток свержения и каждый раз восставал в новом обличье. В 2011 году такая акция с применением sinkholing была проведена силами Microsoft, «Лаборатории Касперского» и Kyrus Tech. Ботоводы сразу начали строить новую сеть, а прежняя и доныне находится под контролем «лаборантов». В следующем году «Лаборатория Касперского» объединилась с CrowdStrike, the Honeynet Project и Dell SecureWorks против Hlux-2. Через 20 минут после перехвата контроля над бот-сетью появился Hlux-3.

В 2013 году попытку нейтрализации Hlux вживую продемонстрировал на конференции RSA Тиллман Вернер (Tillmann Werner) из CrowdStrike. К этому времени одноименный зловред в дополнение к своему основному функционалу, рассылке спама, уже научился также красть все, что может представлять интерес для киберкриминала, от персональных идентификаторов до кошельков Bitcoin. Минувшим летом некоммерческая организация Malware Must Die объявила о нейтрализации 97 доменов, задействованных в схеме распространения Hlux, точнее, его DGA-версии. Спустя месяц эксперты стали свидетелями очередного нововведения: зловред начал использовать общедоступные черные списки для проверки репутации своих IP-адресов. Очевидно, повелители Hlux стремятся всеми силами удержать его тающую армию на плаву, хотя не исключено, что у них в рукаве еще есть сюрпризы, которые со временем всплывут во вредоносном спаме.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Устранить 0x80073CFA в Windows 10 можно тройной переустановкой WinAppSDK

Microsoft поделилась способом устранения ошибки в Windows 10, из-за которой приложения не могут устанавливаться и обновляться. Временным решением проблемы могут воспользоваться те, кто не готов ждать выхода ежемесячных обновлений.

Об ошибке вида «Deployment failed with HRESULT: 0x80073CFA» мы писали на прошлой неделе. Тогда было известно, что обновление WinAppSDK сломало механизм деинсталляции в Windows 10.

Прежде всего баг коснулся пакетных приложений вроде Microsoft Teams. Проблемной версией считается WinAppSDK 1.6.2.

Чтобы уберечь других пользователей Windows 10 от этого бага, Microsoft отозвала WinAppSDK 1.6.2, а спустя несколько дней — выпустила предварительный апдейт KB5046714, который якобы должен устранить баг.

«Мы изучили соответствующие логи и пришли к выводу, что проблема с WinAppSDK может мешать пользователям устанавливать и обновлять софт», — объясняет менеджер по продуктам Microsoft Рой Маклахлан.

«Чтобы минимизировать последствия и не распространять ошибку далее, мы приняли решение отозвать WinAppSDK версии 1.6.2».

Помимо этого, корпорация поделилась альтернативным способом устранения ошибки 0x80073CFA. В частности, предлагается установить WinAppSDK 1.6.3, причём сделать это придётся три раза.

Чтобы проверить, затронута ли ваша система, можно ввести следующую PowerShell-команду:

Get-Appxpackage *WindowsAppRuntime.1.6* -AllUsers | Where { $_.Version -eq '6000.311.13.0' }
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru