Shadowserver átvenni mint Mega-D Botnet Herder

Az erőfeszítés folyamatban van, hogy több tízezer számítógépet tisztítsanak meg olyan rosszindulatú szoftverekkel, amelyekről ismert, hogy óránként több ezer spamüzenet jelenik meg.

A fertőzött számítógépek egy Ombok nevű botnet részei vagy Mega-D, amely egy időben elküldte a világ spam üzeneteinek 4 százalékát.

A múlt héten a security vendor FireEyela indított egy meghajtót a botnet lebontására. A fertőzött számítógépek utasításokat és információkat kapnak az új levélszemét kampányok számára a parancs-és vezérlő szerveren keresztül. A FireEye felvette a kapcsolatot a szolgáltatókat kiszolgáló szolgáltatókkal, és a legtöbbet kikapcsolták.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

Ez azt jelentette, hogy a csapkodott számítógépeknek többé nem csatlakozik botjaik többségéhez. A Mega-D-ről szóló spam általában teljesen megállt. A FireEye egy másik redundancia mechanizmust is levágott a Mega-D-be programozott gazdákra.

Ha a fertőzött gépek nem tudnak kapcsolatba lépni egy parancs-és-vezérlő szerverrel, akkor olyan algoritmussal vannak programozva, amely véletlenszerű tartománynevet és próbálja meg felvenni a kapcsolatot naponta. A pásztorok tudják, hogy mi lesz ez a domain, és új utasításokat tölthetnek fel ott.

Ha ezek a fertőzött gépek új utasításokat kapnak, valószínűleg azt jelenti, hogy a FireEye elveszíti az irányítást, és újra kell kezdenie, hogy megpróbálja leállítani a Mega-D-t. A FireEye nyilvántartásba vette ezeket a tartományokat, hogy megakadályozza a botnet pásztorainak visszaszerzését.

De a FireEye most átvette a botokat a Shadowservernek, egy önkéntes szervezet, amely botneteket figyeli.

Shadowserver átvette a egy "zuhanytálca", vagy olyan számítógép, amely egy Mega-D botok meghívására szolgáló parancs-és vezérlőkiszolgálóként működik, mondta Andre M. DiMino, a Shadowserver társalapítója.

Shadowserver most a Mega-D-vel fertőzött egyes számítógépek azonosításának folyamata, majd a fertőzött gazda-szolgáltatókkal való kapcsolatfelvétel. A cél az, hogy ezek a szolgáltatók kapcsolatba lépjenek a számítógépek tulajdonosával, és kérjék meg őket, hogy futtassanak egy víruskereső vizsgálatot a fertőzés megszüntetése és a Mega-D felszámolása érdekében.

"Ez minden bizonnyal kihívást jelent az internetszolgáltatók számára, előfizetői szinten, és ezt értjük "- mondta DiMino. "A legjobb, amit ebben a pillanatban végezzünk, az az ISP-hez hasonlóan azonosítja az azonosítót, hogy segítsen nekik. Ideális esetben a cél az, hogy tisztítsák meg a fertőzött gépet."

Shadowserver rendszeresen elküldi a fertőzött gépek ingyenes listáját de az azonosítást nem könnyű. A vállalati hálózatok gyakran csak egy külső IP (Internet Protocol) címet mutatnak meg több száz felhasználó számára, és az internetszolgáltatók különböző IP-címeket rendelnek hozzá a számítógépekhez, ahogy a felhasználók be- és kikapcsolják a számítógépüket. "

A számítógépek rögzítése lassú folyamat lehet, mivel a becslések szerint akár 500 000 számítógépet is megfertőzhet a Mega-D, és ez semmiképpen sem a legnagyobb botnet. A Conficker például becslések szerint 7 millió gépet fertőzött meg.

Brazília a teljes Mega-D fertőzés 11,5 százalékát, majd India és Vietnam, a FireEye blogja szerint. DiMino szerint a Shadowserver szoros kapcsolatban van a Computer Emergency Response csapatokkal a világ minden táján, beleértve Brazíliát is, ami segíthet a hálózati szolgáltatókkal való együttműködésben.

Még ha a Mega-D-t nem lehet teljesen leölni, "néha a zavarás reálisabb, "Mondta DiMino." Meglátjuk, mi a hatása "- mondta. "A zsűri még mindig ki van."