Estonský ISP odřízne řídicí servery pro Srizbi Botnet

Estonský poskytovatel internetových služeb, který dočasně hostil servery příkazového a řídícího systému pro botnet Srizbi, zodpovědný za velkou část spamu na světě, tyto servery přerušil, podle analytiků počítačové bezpečnosti.

Společnost Starline Web Services sídlící v hlavním městě Estonska v Tallinu hostovala čtyři doménové jména, které byly identifikovány jako kontrolní body pro Srizbi, podle výzkumných pracovníků společnosti FireEye.

Stovky tisíc počítačů na světě infikovaných Srizbi, obtížně odstranitelný rootkit, který se používá pro odesílání nevyžádané pošty, byly naprogramovány tak, aby vyhledávali nové pokyny ze serverů v těchto doménách.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Srizbi is consi vysílal jeden z výkonnějších botnetů, kde bylo infikováno nejméně 450 000 počítačů. Odhaduje se, že polovina světového spamu pochází z počítačů infikovaných Srizbi. Spam zůstává pro zločince ziskové.

Ale spammeri ztratili kontrolu nad Srizbi, když ISP, který předtím hostil servery pro správu a kontrolu, byl odpojen od internetu. McColo, jehož servery jsou umístěny v San Jose, Kalifornie, byl od počátku tohoto měsíce odpojen od svých dodavatelů, kteří byli odhaleni odborníky na počítačové zabezpečení a Washington Post.

To zanechalo spammery, kteří nemohli ovládat počítače infikované Srizbi. Srizbiův kód však obsahoval náhradní mechanismus, kdy by se spammeri mohli připojit k zaviněným strojům, pokud by k takovému scénáři došlo.

Algoritmus v rámci Srizbi by periodicky generoval nové doménové jména, kde by malware hledal nové instrukce, pokud by tyto domény byly na internetu. Ozbrojeni stejným algoritmem, měli spammeři pouze registrovat příslušné názvy domén a směřovat je na své servery.

Spamátoři však potřebují na chvíli nějaký nový ISP k hostování těchto serverů. "

" Byla jsem spokojena s tím, že tyto stránky byly uzavřeny, "uvedl Hillar Aarelaid, hlavní bezpečnostní důstojník týmu pro reakci na počítačové záchranné služby v Estonsku (" Computer Emergency Response Team " CERT) ve čtvrtek.

Pokusy o kontaktování služby Starline Web Services byly neúspěšné. Ale Aarelaid uvedla, že společnost CERT je v kontaktu se společností a zdá se, že reaguje na stížnosti na zneužívání.

Společnost Starline Web Services kupuje své připojení od společnosti Compic, jiné estonské společnosti. Společnost Compic označila estonský server CERT za web, který hostuje škodlivý software, řekl Tarmo Randel, odborník na bezpečnost informací v organizaci.

Randel řekl, že CERT "neustále" oznamuje Compic o malwaru, který hostil. Společnost Compic podnikne kroky k odstranění stránek podle toho, "jak hlasitě křičíme," řekl Randel. Compel obvykle reaguje rychle, když CERT posílá stížnost na e-mail - a zkopíruje estonskou kriminální policii, uvedl Randel.

Ve čtvrtek odeslal dodavatel společnosti Compic Linxtelecom e-mail estonské komunitě ISP, která uvedla, že jsou plánuje ukončit systém Comic, uvedl Randal.

Společnost Linxtelecom prodává služby přenosu IP, které propojují místní poskytovatele internetových služeb a telekomunikační operátory s většími datovými nosiči. Linxtelecom v e-mailu uvedl, že 99 procent stížností, které obdrží nad zneužíváním, souvisí s Compicem, uvedl Randel.

Oficiální úředník Linxtelecom řekl, že o e-mailu neví. Společnost Compic reaguje na stížnosti do dvou dnů, ale společnost Linxtelecom v minulosti přerušila připojení k webovým serverům, které společnost Compic po stížnostech stěžovala, uvedl úředník.

Odborníci v oblasti počítačové bezpečnosti tvrdí, že existuje řada poskytovatelů internetových služeb a registrátorů doménových jmen, úzce spolupracujte s kybernetickými zločinci na podporu spamových operací, webů, které prodávají falešný software a jiné podvody.

Operace jsou obtížné zastavit kvůli jejich mezinárodní povaze, rychlosti, s jakou počítačoví zločinci reagují na odstávky a nedostatek prostředků pro vymáhání práva nebo zájmů.

McColo vypnutí skončilo poté, co byl zveřejněn výzkum, který ukázal, do jaké míry byla společnost zapojena ve zločineckém podzemí.

Podobně byl jiný známý špatný ISP - známý jako Atrivo nebo Intercage - propuštěn jeho dodavateli v září kvůli rostoucímu tlaku ze strany počítačové bezpečnostní komunity. nedávné případy McColo a Atrivo / Intercage, které byly odstraněny z internetu, bude v budoucnu snadnější vyvinout větší tlak na další známé hosty škodlivého softwaru, aby podnikli kroky nebo aby byly v režimu offline, "uvedl Toralv Dirro, bezpečnostní stratég pro společnosti Avert Labs společnosti McAfee. Týden.