ZeroAccess

ZeroAccess (также известен как Siref или ZAccess) — зашифрованная троянская программа и ботнет, сделанный в основном для майнинга биткоинов, проведения кликфродов и распространения различных вредоносных программ. Начал свою деятельность в 2009 году^[3]. Сперва имел 32-битную версию, позже появилась 64-битная^[2]. Для своего распространения использует одноранговую сеть^[4]. В 2012 году был назван самым активным ботнетом^[5]. Всего существовало 2 ботнета ZeroAccess с двумя версиями у каждого (32-битная и 64-битная), для первых двух версий использовались порты 16464 и 16465, для других 16470 и 16471^[6]. Всего было идентифицировано 18 серверов ботнета^[3].

Было подсчитано, что при работе на максимальной мощности ботнет способен принести его владельцу сумму в размере $100 000^[4], ежемесячно ботнет приносил ему около $2,7 млн^[3].

Размер двух ботнетов ZeroAccess составляет 575 тыс. и 1150 тыс. устройств, всего они заразили каждый по 9,5 млн устройств, но большинство из них смогли быстро вылечиться от трояна^[7]. Все устройства были разбросаны по 198 странам, включая Кирибати, Бутан и некоторые другие маленькие страны. Больше всего заражённых устройств находились в США, Канаде, Восточной Европе, Бразилии, Японии, Румынии и Аргентине^[6].

Заражение ZeroAccess может проходить через кликфрод с помощью набора эксплойтов, либо с помощью социальной инженерии. В зависимости от того, какая используется система (32- или 64-битная), скачивается соответствующая версия трояна^[1]. После заражения он скачивает на заражённое устройство бэкдор, а также другие различные вредоносные программы^[2], среди них могут быть разные банковские трояны, спамбот, использующий порт 34354, а также ненастоящий антивирус^[5]. Конкретно версия для 32-битных систем перед этим скачивает ещё и руткит, который делает вирус менее заметным для антивирусных программ^[1].

• Dridex
• TDL-4
• ZeuS