На конференции RSA представители исследовательской компании Damballa рассказали о новом гигантском ботнете Kraken, насчитывающем более 400 тысяч зомби-машин, что более чем в два раза превышает размер минувшего лидера, ботнета Storm. Что интересно, в числе инфицированных оказались компьютеры сетей 50 компаний входящих в список "Fortune 500", причем на 80% машин было установлено антивирусное ПО. Для противостояния антивирусным пакетам в Kraken используется изощренный метод изменения структуры кода, мешающий работе статических анализаторов и детекторов сигнатур. Метод инфицирования машин пользователей до сих пор до конца не ясен, предполагается, что заражение происходит при открытие жертвой изображения, вместо которого закамуфлирован исполняемый ".exe" файл (вероятно какая-то неизвестная уязвимость в одном из почтовых клиентов). Для приема управляющих команд используется специальный внутренний протокол, работающий поверх UDP и TCP, причем передаваемые данные подвергаются шифрованию, что усложняет анализ. Кроме того, при прекращении работоспособности управляющего узла, зомби-хост автоматически перестраивается на другой управляющий сервер, адрес которого вычисляется в соответствии с определенным алгоритмом. В настоящее время Kraken используется для рассылки спама (ежедневно отправляется около 500 тыс. писем), но наличие средств обновления бинарного кода не исключает возможности использования ботнета для других задач, таких как совершение массированных DDoS атак. Сеть продолжает расти стремительными темпами, специалисты прогнозируют, что уже к середине апреля она превысит отметку в 600 тыс. зомби машин.