По данным PandaLabs, большинство мировых бот-сетей состоят из представителей
семейств Sdbot и Gaobot. Они составляют 80% обнаружений ботов за первый
квартал 2007г. Остальные, менее распространенные - Oscarbot, IRCbot и RXbot.
“Причины такого преобладания кроются не столько в каких-то особых свойствах
Gaobot или Sdbot, а просто в том, что их код наиболее распространен в интернете.
Это значит, что любой преступник, который хочет создать бот, может просто
взять исходный код этих угроз и внести любые изменения по своему выбору.
Действительно за счет этого значительно экономятся их время и усилия,” объясняет
Луис Корронс, технический директор PandaLabs. Боты – это черви или трояны,
которые устанавливаются на компьютеры для автоматического выполнения определенных
действий, таких как отправка спама, а затем превращают компьютеры в «зомби».
Бот-сети – сети, состоящие из компьютеров, зараженных ботами, уже превратились
в прибыльную бизнес-модель. Существует подпольный рынок сдачи ботов в аренду,
например, для рассылки спама или установки шпионского и рекламного ПО. В
2006 году боты составили 13% от общего числа новых угроз, обнаруженных PandaLabs.
74% из них принадлежали к семействам Sdbot и Gaobot. Поскольку численность
ботов растет, изменяются и способы их контроля. До сих пор преступники контролировали
боты с помощью IRC-серверов. Через них злоумышленники могут отправлять приказы,
скрывшись за анонимностью таких чат-серверовs. Однако, сегодня уже существуют
боты, которыми можно управлять через веб-консоли с использованием HTTP.
“Контроль через IRC удобно использовать для управления изолированными компьютерами.
Однако, такая система уже не очень эффективна в отношении бот-сетей. За
счет использования HTTP бот-мастеры могут одновременно управлять большим
количеством компьютеров, даже могут отследить, какой из них находится в
онлайн-режиме, и правильно ли выполняются команды”, рассказывает Луис Корронс.
Боты чаще всего попадают в компьютеры с электронной почтой или через системные
уязвимости. Основная цель ботов - незаметно инсталлироваться и продолжать
свою деятельность в течение долгого времени не выдавая своего присутствия
ни пользователям, ни решениям безопасности.