Fésűs Nelly a kislányáról: ˝Már ő osztja az észt a bölcsődében˝ - tv2.hu/fem3cafe
A virtuális ISP, amely ideiglenesen befogadta a Srizbi botnet parancs-és-vezérlő szervereit, amely felelős a világ spamének nagy részéért, megszüntette ezeket a kiszolgálókat a számítógépes biztonsági elemzők szerint.
A Starline Web Services, amely Észtország fővárosában, Tallinnban található, négy domain nevet tárolt a Srizbi ellenőrző pontjaként, a FireEye számítógépes biztonsági cég kutatói szerint.
A Srizbi-tel fertőzött világ százezreinek számítógépek, a nehezen eltávolítható rootkit, amelyet a spam küldésére használnak, úgy tervezték, hogy új utasításokat kérjen a kiszolgálóktól ezen a tartományokon.
[További olvasmány: Hogyan távolítsunk el kártékony programokat a Windows számítógépről]Srizbi consi az egyik legerőteljesebb botnet, és legalább 450 000 PC fertőzött. Becslések szerint a világ spamének fele a Srizbi-tel fertőzött számítógépekből származik. A spamek továbbra is nyereséges üzleti vállalkozások a számítógépes bűnözők számára.
De a spammerek elvesztették a Srizbi irányítását, amikor az ISP, amely korábban elhódította a parancs-és vezérlő szervereit, levágták az internetről. A kaliforniai San Jose-i székhelyű kiszolgálót a hónap elején levágták a számítógépes biztonsági szakértők és a Washington Post előtt.
Ez azt eredményezte, hogy a spammerek nem tudták ellenőrizni a Srizbi-fertőzött számítógépeket. De a Srizbi kódja tartalmazott egy visszacsatolási mechanizmust, ahol a spammerek újra bekapcsolódhatnak a sodrott gépekkel, ha ilyen változás következett be.
A Srizbiben található algoritmus rendszeres időközönként új tartományneveket generálna, ahol a rosszindulatú programok új utasításokat keresnének, ha ezek a domainek az interneten élnek. Ugyanezzel az algoritmussal fegyverezve, a spammereknek csak regisztrálniuk kell a megfelelő domainneveket, és pontosítaniuk kell őket a szervereikre.
A spammereknek azonban legalább egy ideig új ISP-t kellett igénybe venniük a szervereket. Megtalálták a Starline Web Services-t, egy nagyon kis ISP-t, de ez a szolgáltató azóta is megszüntette őket.
"Meg vagyok győződve arról, hogy ezek a helyek bezárták" - mondta Hillar Aarelaid, az Észtország Számítógépes Segélyhívó Csapatának vezető biztonsági tisztje CERT), csütörtökön.
A Starline Web Services kapcsolatfelvételének kísérlete sikertelen volt. Aarelaid azonban elmondta, hogy a CERT kapcsolatba lépett a céggel, és úgy tűnik, hogy reagál a visszaélésekkel kapcsolatos panaszokra.
A Starline Web Services megszerzi a kapcsolatot a Compic-tól, egy másik észt társaságtól. A CICC-t a Compic úgy jelezte, hogy olyan weboldalak vannak, amelyek rosszindulatú szoftvereket tárolnak, mondta Tarmo Randel, a szervezet információbiztonsági szakértője.
Randel szerint a CERT "folyamatosan" értesítette a Compicot arról a rosszindulatú programról, amelyet otthont adott. Compic megteszi a szükséges lépéseket a webhelyek eltávolítására, attól függően, hogy "mennyire hangosan sikoltozunk" - mondta Randel. A Compic rendszerint gyorsan reagál, amikor a CERT panaszos e-mailt küld - és másolja az észt bűnügyi rendőrséget, Randel szerint.
Csütörtökön a Compic upstream szolgáltatója, a Linxtelecom e-mailt küldött az észt ISP közösségnek, a Riccal elmondta:
Linxtelecom eladja az IP tranzit szolgáltatásokat, amelyek összekapcsolják a helyi internetszolgáltatókat és távközlési szolgáltatókat nagyobb adathordozókkal. Linxtelecom elmondta az e-mailben, hogy a panaszok 99 százaléka a visszaélések miatt Compic-szel kapcsolatos, Randel szerint.
Egy Linxtelecom tisztviselő azt mondta, hogy nem tudja az e-mailt. A Compic két nap múlva válaszol a panaszokra, de a Linxtelecom a múltban megszüntette a Compic által a panaszosok által üzemeltetett weboldalakhoz való kapcsolódást. A számítógépbiztonsági szakértők azt állítják, hogy vannak olyan internetszolgáltatók és domain névjegyzők, akik a számítógépes bűnüldözőkkel szorosan együttműködve támogatja a spamszolgáltatást, a hamis szoftvereket és egyéb csalásokat értékesítő weboldalakat.
A műveletek nehézségei a nemzetközi természetük, a számítógépes bűnözők által a leállásokra és a bűnüldözési erőforrások vagy érdekek hiányára reagálva fordulnak elő.
McColo leállt, miután megjelentek a kutatások, amelyek megmutatták, mennyire érintett a vállalat
Hasonlóképpen, egy másik, rossz hírközlő ISP-t - az Atrivo vagy az Intercage néven ismert - szupervíz-szolgáltatók szüneteltek szeptemberben a számítógépes biztonsági közösség fokozódó nyomása miatt.
" a McColo és az Atrivo / Intercage közelmúltbeli ügyei az internetről eltávolodtak, a jövőben könnyebb lesz nyomást gyakorolni a rosszindulatú egyéb ismert vendéglőkre, hogy lépéseket tegyenek vagy offline legyenek "- mondta Toralv Dirro, a McAfee Avert Labs biztonsági stratégiája. Thurday.
Javítottad a vállalat DNS-kiszolgálóit?
Itt van egy gyors teszt annak megállapítására, hogy a vállalat DNS-kiszolgálók, amelyek az összes internetes forgalmat irányítják a múlt héten felfedezett nagyobb hiba miatt.
Spammerek visszanyerte az irányítást felette Srizbi botnet
Biztonsági cégek azt mondják, a spammerek újra összekapcsolódnak a feltört számítógépek elküldéséhez használt spam.
"A hónapban az MSRT a világon jelenleg működő legnagyobb botneteket veszi át," írta A Microsoft szóvivője, Vincent Tiu egy blogbejegyzésben kedden, a szoftver eltávolító eszköz frissítésének napján. "A Win32 / Srizbi-t azzal vádolták, hogy a felfedezés utáni években elküldött hatalmas darab levélszemét-üzenetekért felelős" - tette hozzá. "Reméljük, hogy pozitív hatással lesz a Win32 / Srizbi hozzáadásával az MSRT-re."
Mivel a Microsoft felderítési szoftvere világszerte több százmillió számítógépen fut, köztük olyanok is, amelyek nem futnak naprakész víruskereső szoftverekkel ilyen módon mozoghat a botnet a botnethez. Ez történt 2007 szeptemberében, amikor a Microsoft felvette a Storm Worm botnet felderítését. 24 órán belül mintegy 91 000 viharos fertőzést távolítottak el, és hamarosan a botnet egykori önmagának árnyéka volt, a szakértők azt mondják.