Według NASK (Naukowa i Akademicka Sieć Komputerowa) domeny służyły do rozpowszechniania i zarządzania wirusem Virut. Akcja miała na celu ochronę internautów przed atakami DDoS, spamem, kradzieżą danych. Uniemożliwiono kontynuowanie nielegalnych działań – zapewnił instytut. Była to największa tego rodzaju operacja przeprowadzona w naszym kraju.

– To pierwszy przypadek, gdy podjęliśmy decyzję o zaprzestaniu utrzymywania nazw w domenie .pl. Zadecydowała skala zjawiska i zagrożenie jakie niosło ono dla wszystkich użytkowników Internetu. W takiej sytuacji odmówiliśmy świadczenia usług – komentują przedstawiciele instytutu badawczego NASK.

NASK pełni rolę krajowego rejestru nazw internetowych w domenie ’.pl’. Podlega Ministerstwu Nauki i Szkolnictwa Wyższego. W ramach instytutu działa zajmujący się bezpieczeństwem zespół CERT Polska (Computer Emergency Response Team).

CERT ustalił, że w 2012 roku odnotowano w Polsce 890 tys. zgłoszeń adresów IP zainfekowanych Virutem (pierwsze stwierdzono w 2006 r.). Według szacunków NASK, potwierdzanych przez dane Symanteka, botnety kontrolowane przez Virut składają się obecnie z około 300 tys. urządzeń. Według Kaspersky’ego w III kw. 2012 r. Virut został wykryty u 5,5 proc. użytkowników i zajął 5. miejsce wśród najpopularniejszych wykrytych wirusów.

Vitur rozpowszechnia się m.in. poprzez luki w przeglądarkach. Do zarażenia może dojść po wejściu na zainfekowaną stronę WWW. NASK stwierdził, że głównymi źródłami wirusa były domeny zief.pl oraz ircgalaxy.pl, które pełniły funkcję centrów sterujących komputerami-zombie, wysyłały rozkazy ataku. W ub. roku pojawiły się kolejne domeny .pl, które miały te same zadania. Przyczyniały się także do rozpowszechniania złośliwych programów, m.in. Palevo i Zeusa. Część domen sterujących botnetem nadal znajduje się jednak poza granicami Polski.