«Лаборатория Касперского» совместно с фирмами CrowdStrike Intelligence Team, Honeynet Project и Dell SecureWorks провела операцию по отключению второго ботнета (сети из зараженные компьютеров) Hlux (также известного как Kelihos). За шесть дней эксперты обезвредили бот-сеть, в состав которой входило более 116 000 зараженных машин.

Российский разработчик антивирусов уже во второй раз вступает в схватку с модификацией ботнета Hlux/Kelihos. В сентябре 2011 года «Лабораторией Касперского» совместно с отделом компании Misrosoft по борьбе с киберпреступностью и компаниями Surf Net и Kyrus Tech был успешно отключен первый ботнет Hlux/Kelihos, в состав которого входило порядка 40 000 хостов. В тот раз «Лаборатория Касперского» провела операцию, в ходе которой ботнет и его резервная инфраструктура были отключены от командного сервера.

Несмотря на нейтрализацию первого ботнета и установление контроля над ним, эксперты «Лаборатории Касперского» обнаружили следы функционирования второй похожей сети из зараженных машин. Вредоносная программа для этих компьютеров была написана с использованием похожего кода, однако, помимо традиционных функций рассылки спама и проведения DDoS-атак, он обладал рядом дополнительных возможностей.

В течение недели, с 19 марта 2012 года, «Лаборатория Касперского», команда CrowdStrike Intelligence, Honeynet Project и Dell SecureWorks проводили операцию по внедрению своих программ в сеть зараженных компьютеров, в итоге ее удалось нейтрализовать. В отличие от традиционных ботнетов, которые для управления сетью используют один командный сервер, Hlux/Kelihos имеет пиринговую архитектуру, которая подразумевает, что каждый компьютер может выступать в качестве как сервера, так и клиента. Для нейтрализации подобной схемы группой экспертов по безопасности была создана глобальная распределенная сеть, состоящая из компьютеров, которые были внедрены в инфраструктуру ботнета. Вскоре эта сеть стала настолько масштабной, что «Лаборатория Касперского» смогла нейтрализовать действие ботов, предотвратив возможность получения ими вредоносных команд.

Так как большая часть компьютеров, входящих в ботнет, соединена с маршрутизатором, эксперты «Лаборатории Касперского» имеют возможность отслеживать количество и географическое положение зараженных машин. На настоящий момент речь идет о 116 000 зараженных системах. Большинство IP-адресов — в Польше и США.