Spammerek visszanyerte az irányítást felette Srizbi botnet

A zombi számítógépek küldésére használt spam újra életre kelnek.

A biztonsági szolgáltatók szerint a spammerek újból csatlakoznak a feltört PC-khez, amelyek a spam küldésére szolgálnak, amint azt az elmúlt néhány napban növekvő számú internetes spamüzenet is bizonyítja. A spamet szintek két héttel ezelőtti csökkenést követően jelentek meg a kaliforniai San Jose-i székhelyű McColo, egy gazember internetszolgáltató (shut-up) után, amelynek összekapcsolását több százezer számítógépes hálózat vezérlésére használták, hogy leveleket küldjenek.

A Srizbi botnet részét képező számítógépek - amelyek a becslések szerint a világ spamének közel felét küldték - a FireEye kutatói szerint újra aktívak.

[További olvasmány: Hogyan távolítsunk el kártékony programokat a Windows PC]

"Srizbi visszatért a halálból, és új, friss bináris úton frissítette az összes botját" - állítja Atif Mushtaq és Alex Lanstein a FireEye kedden. "A világméretű frissítés csak pár órával ezelőtt kezdődött."

A Srizbi számítógépeit a spamolók irányították a McColo hálózatán keresztül. Amikor McColo leállt, a számítógépek megpróbálták visszahívni és új utasításokat kapni a levélküldésre. De a botnet-operátorok okosak és létrehozták a módját, hogy visszanyerjék azokat a gépeket, ha elszálltak.

A FireEye kutatói lényegében boncolgatták a Srizbi kódját. Megállapították, hogy a hackerek olyan algoritmust helyeznek el, amely dinamikusan generál egy olyan tartománynevet, amelyből egy veszélyeztetett számítógép új utasításokat szerezhet.

A hackerek ezután regisztrálhatják a tartománynevet, és ott elhelyezhetik az utasításokat, hogy megmondják a kompromisszumozott számítógépnek, hogy másik parancs-és-vezérlő szerver - nem McColo - új utasításokhoz.

Mivel a FireEye rájött, hogyan működött az algoritmus, a cég regisztrálta a gibberish domainneveket, például az "auaopagr.com" -ot, amelyet az algoritmus generált. Amikor a gépek bejelentették a szolgálatot, nem voltak utasítások. De a FireEye nem tudta folyamatosan megelőzni a spammereket domainnevek vásárlásával.

Most a veszélyeztetett számítógépek csatlakoznak a spammerek által regisztrált domainnevekhez, és friss kódot kapnak, beleértve az új spamkampányok sablonjait is. Az új parancs-és-vezérlő szerverek Észtországban vannak, és a domainneveket Oroszországban regisztráló cégtől szerezte meg. "

A Srizbi egy időben több mint 450 000 PC-t kapott, és továbbra is látható, hogy hány ezek a gépek frissített kódot tartalmaznak. De három másik botnetek kontrolláltunk keresztül McColo - Rustock, Cutwail és Asprox - minden úgy tűnik, hogy is jön vissza az interneten.

Dmitry Samosseiko számítógépes biztonság eladó Sophos írta szerdán, hogy a spam szintje hirtelen megugrott a hét elején, mivel részben az újjáéledése a Rustock botnet.

McColo kapcsolatrendszerét röviden helyre hibáztak TeliaSonora, a drága néhány óra online hagyjuk spammerek mondani számítógépek fertőzött Rustock hol az új utasításokat.

Antispam eladóval MessagLabs, amelyet a Symantec nemrég vásárolt meg, nem vette észre a Srizbihez kapcsolódó spam-emelkedést, mondta Paul Wood, az Egyesült Királyság irodáin alapuló vezető elemző.

Wood szerint a MessageLabs elemzi a levélszemetet, amely a 8 millió és lehet, hogy a Srizbi nem vagy felgyorsul, vagy megváltoztatta, hogy az embereket célozza meg.

De a MessageLabs észrevette a Rustock, a Cutwail és az Asprox levélszemétét, amely a botn a Srizbi lazasága felszívódik.

"Mint bármely más üzlet, ha a futár lemegy, vagy sztrájkol, találsz alternatív szolgáltatót" - mondta Wood.

Mégis, a spam szintek körülbelül 40% -át teszik ki mielőtt McColo lemenne, mondta Wood