IT History Journal
March 18

18 марта 2004 — Phatbot (Polybot) раскрыт

18 марта 2004

18 марта 2004 года специалисты по информационной безопасности сообщили о новом и необычно продвинутом компьютерном черве, известном как Phatbot (также называемый Polybot). Он быстро привлёк внимание, потому что это была не просто вредоносная программа — это была платформа для построения крупных ботнетов.

Что такое Phatbot

Phatbot был основан на более раннем семействе вредоносных программ Agobot/Gaobot, разработанном программистом под псевдонимом «Ago». Со временем разные разработчики модифицировали и расширяли этот код.
В отличие от многих червей начала 2000-х, Phatbot был написан на C++ и использовал объектно-ориентированный подход. Это делало его более удобным для расширения и повторного использования — редкое свойство для вредоносного ПО того времени.
Червь атаковал системы Windows и распространялся через известные уязвимости, слабые пароли и сетевые ресурсы.

Модульный подход к ботнетам

Главная особенность Phatbot — его архитектура.
Это был не один вирус с фиксированной функцией, а своего рода конструктор:

  • Он мог загружать и подключать новые модули во время работы
  • Поддерживал разные способы распространения
  • Позволял управлять заражёнными машинами через IRC (Internet Relay Chat)
  • Мог обновляться без повторного заражения системы

На практике это означало, что злоумышленникам не нужно было писать новое вредоносное ПО с нуля. Они могли использовать Phatbot как основу и добавлять нужные функции.
Этот подход стал основой для современных ботнетов.

Как строились ботнеты

Типичный процесс выглядел так:
Заразить как можно больше компьютеров с помощью эксплойтов или подбора паролей
Подключить заражённые машины к управляющему серверу (часто через IRC)
Получать команды от оператора
Выполнять задачи — от DDoS-атак до рассылки спама и кражи данных
Phatbot автоматизировал все эти шаги и позволял легко масштабировать атаки.

Что могли делать заражённые компьютеры

После заражения компьютер становился частью ботнета и мог использоваться для:
DDoS-атак
Рассылки спама
Установки дополнительного вредоносного ПО
Кражи данных
Использования в качестве прокси для дальнейших атак
Благодаря модульности назначение ботнета можно было менять в любой момент.

Почему сложно оценить ущерб

Одна из ключевых особенностей Phatbot — сложность оценки реального ущерба.

Распределённая и скрытая инфраструктура. Ботнеты управлялись через IRC-серверы, которые можно было быстро менять или переносить. После отключения одного сервера появлялся другой.

Постоянно меняющийся код. Phatbot поддерживал полиморфизм и частые обновления. Разные версии вели себя по-разному, что усложняло отслеживание.

Неизвестное количество заражённых машин. Многие заражённые компьютеры так и не были обнаружены. Домашние ПК и плохо защищённые серверы могли оставаться заражёнными долгое время.

Множество операторов. Один и тот же код использовали разные злоумышленники. Не существовало единого ботнета Phatbot — их было множество.

Косвенный ущерб. Основной вред часто проявлялся не напрямую: массовые спам-рассылки, DDoS-атаки на сервисы, кража данных с последующим использованием. Такой ущерб трудно точно измерить.

Почему это важно

Phatbot стал важным этапом в развитии вредоносного ПО.
Он показал, что вредоносные программы могут быть модульными, поддерживаемыми, расширяемыми и повторно используемыми.
Фактически, вредоносное ПО стало разрабатываться как полноценный программный продукт.
Этот подход повлиял на развитие последующих ботнетов и всей индустрии киберпреступности.