12 апреля на территории США спецслужбы провели первую в своем роде операцию, установив свои серверы у некоторых провайдеров и с этих серверов послав команду на огромное число частных компьютеров. Таким образом ФБР решил остановить работу ботнета под названием Coreflood.

Ботнет представляет собой сеть компьютерных вирусов. Вирус распространяется с определенных страниц в Интернете. Эти страницы – своеобразные минные поля, с которых на компьютер пользователя попадает троян или его загрузчик. В случае Coreflood, инфекция многоступенчатая: сначала устанавливается один троян, который вызывает загрузку установщика вируса, и уже последний устанавливает на компьютере Coreflood.

Этот ботнет существует как минимум с 2002 года – тогда его начали регистрировать. В то время он представлял собой троян для пользователей IRC–чатов. С тех пор он усовершенствовался. В настоящий момент он способен перехватывать имена пользователей и пароли банковских счетов, а также личную информацию о пользователе и пересылать ее киберпреступникам. Эти данные собираются именно сетью вирусов, что важно отметить. Те, кто ее создал и те, кто похищают с ее помощью деньги, могут находиться в любой точке мира и прямо не участвовать в акте перехвата информации. Эти люди, тем не менее, в конечном счете получают нужные им сведения и с их помощью снимают с банковских счетов деньги.

Что касается Coreflood, существует предположение, что преступники находятся на территории России. Вообще, такого рода сети, как правило, действуют на территории других государств. Это облегчает преступникам уход от обнаружения и ответственности.

В истории с Coreflood есть несколько трудно объяснимых обстоятельств. Во–первых, об этом ботнете известно уже около десяти лет. В 2008 году сотрудники отдела безопасности сетей компании Dell описали, как они обнаружили сервер, на котором хранилось 50 Гб информации о 378 758 зараженных пользователях с датами их заражения и украденной у них информацией.

Казалось бы, вопрос стоял серьезно уже тогда. Тем не менее, поиск по Интернету и сегодня не дает никакого инструмента для удаления этого вируса с личного компьютера. Microsoft заявил о создании программы удаления, но ссылок на нее Google не знает. Между тем на февраль 2010 года число зараженных этим вирусом только в США составило уже 1 853 005 пользователей, а по всему миру – свыше 2,3 миллиона. Вирус особенно активно заражал компьютерные сети крупных организаций. Остается непонятным, почему при таком масштабе угрозы не появилось эффективных средств очистки от вируса.

Во–вторых, действия ФБР по нейтрализации ботнета представляют собой буквально следующее. Министерство юстиции США получил разрешение на замену серверов и на отсылку команды, приостанавливающей действие вируса на частные компьютеры. Существенно то, что эта команда не очищает компьютеры от вируса, а только останавливает его работу. При перезагрузке вирус может вновь активироваться. Пользователи при этом не получили никакого уведомления о том, что происходит с их машинами во время этих действий.

Крис Палмер из организации Electronic Frontier Foundation охарактеризовал эти действия как «крайне непродуманные». Это первый прецедент в США, когда государственная правоохранительная организация получила легальное разрешение на прямое вмешательство в огромное количество частных компьютеров. Остается непонятным, почему зараженные пользователи не были об этом оповещены провайдерами, и почему им не была предоставлена возможность очистить компьютеры. Именно так обычно происходит очистка от вирусов.

Недавний прецедент с так называемым королем спама указывает, что механизмы для выявления киберпреступников за границей существуют, и что при желании они могут давать результаты. Правда, созданный королем спама вирус заразил 12,7 миллионов компьютеров, отправлявших от одной пятой до трети всего спама на свете, и только после этого его остановили. Создателем сети Rustock, рассылавшего до 20% мирового спама лекарственного препарата «Виагра», предположительно является некто Игорь Гусев, против которого в России заведено уголовное дело. Сам Гусев виновным себя не признал.