FireEye gyorsabban mozog a Quash Mega-D Botnet-hez

A botnettekkel foglalkozó számítógépbiztonsági cég a múlt héten költözött, hogy megpróbálja leállítani a tartós levélszemétszolgáltatót.

A biztonsági eszközöket gyártó California FireEye nyomon követte a botot, a Mega nevet -D vagy Ozdok. A Mega-D, amely a hackelt számítógépek hálózata, a M86 Security szerint a világ spamének több mint 4 százalékát küldi el. A Mega-D-t alkotó számítógépek közül sok számítógéppel fertőzött.

A Mega-D egyike azon botneteknek, amelyek fejlett technikai intézkedéseket hajtottak végre annak érdekében, hogy a tulajdonosok ne veszítsék el az irányított számítógépeket. A hackerek a parancs-és vezérlő szervereket utasítások kiadására használják a zombi PC-k számára, például amikor spam-kampányt futtatnak.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows PC-ről]

Mega -D, a feltört PC-k bizonyos domainneveket keresnek letöltési utasítások érdekében, írta Atiq Mushtaq a FireEye-ről a cég blogján. Ha ezek a domainek nem aktívak - gyakran az ISP-k bezárják őket, ha visszaélésekkel társulnak - a Mega-D gépek egyéni DNS (Domain Name System) kiszolgálókat keresnek élő domainek kereséséhez.

Ha ez szintén meghiúsul, a Mega-D programozva véletlenszerű tartománynevet generál az aktuális dátum és idő alapján, írta Mushtaq. Amikor a hackerek regisztrálják a tartománynevet, a fertőzött gépek meglátogathatják az új utasításokat.

Mega-D mechanizmusai, amelyek biztosítják életben tartását, megnehezítették a biztonsági cégeket. "Hacsak valaki elég elkötelezett ahhoz, hogy előzetesen regisztrálja ezeket a domaineket, a botrégiók mindig megjelennek és regisztrálják ezeket a domaineket, és visszaveszik a botnet-vezérlést" - írta Mushtaq.

Múlt csütörtökön a FireEye elkezdte a támadást, kapcsolatba lépve az internetszolgáltatókkal a gépek a Mega-D parancs-és vezérlő szerverei voltak. Mind a négy szolgáltató leállítja a kapcsolatokat a Mega-D által használt IP-címekhez, írta Mushtaq. A FireEye szintén felvette a kapcsolatot a regisztrátorokkal, amelyek szabályozzák a Mega-D-hez használt domainneveket.

Végső fokon a FireEye regisztrálta az automatikusan generált domainneveket, amelyek megfertőzött Mega-D számítógépekkel kapcsolatba lépnének, ha a gépek nem tudtak más parancs- ellenőrző csomópontok.

Mushtaq pénteken írta, hogy mintegy 264.784 egyedi IP (Internet Protocol) címmel lépett kapcsolatba a FireEye "sinkhole" kiszolgálójával vagy a fertőzött számítógépek azonosítására szolgáló kiszolgálóval.

"A sinkhole szerverről gyűjtött adatok az áldozati gépek azonosítására szolgálnak, "- írta Mushtaq.

Reméljük, hogy az internetszolgáltatók kapcsolatba lépnek ezekkel az előfizetőkkel és tájékoztatják őket arról, hogy antivírus-vizsgálatot kell végrehajtaniuk.

FireEye erőfeszítései, valamint az internetszolgáltatók együttműködése és regisztrátorok úgy tűnik, hogy legalább ideiglenesen megszorították a Mega-D-et.

Hétfőn az M86 Security statisztikái azt mutatták, hogy a Mega-D spam szinte megállt. Egy korábbi pontban az M86 egyetlen Mega-D fertőzött számítógépen óránként akár 15 000 spam üzenetet is küldött.

"Ez egyértelműen azt mutatja, hogy nehéz, de nem lehetetlen a világ legszülöttebb botnetjeinek levétele, "Mushtaq írta:" De az elhalasztás nem tarthat sokáig. A FireEye megakadályozta a Mega-D-t, hogy olyan domaineket jegyez be, amelyeket a robotok keresni fognak, de ez a folyamat soha véget nem érő és drága. Ha a FireEye abbahagyja a domainek regisztrálását, és az árva botok hazaérkeznek, a hackerek új kódot tölthetnek fel nekik, hogy megnehezítsék a leállításukat.

"Nem vagyunk biztosak, mennyi ideig tudunk lépést tartani ezekkel a jövőbeli domainekkel" - írta Mushtaq.