FireEye se rychle přemístí do Mega-D Botnet

Počítačová bezpečnostní společnost známá pro boj s botnety se minulý týden přesunula, aby se pokusila vypnout trvalý spamový server.

FireEye, společnost z Kalifornie, která dělá bezpečnostní zařízení, sledovala botnet s názvem Mega -D nebo Ozdok. Mega-D, což je síť napadených počítačů, odpovídá za odesílání více než 4 procent spamu na světě, podle M86 Security. Mnoho počítačů, které tvoří Mega-D, jsou infikované domácí počítače.

Mega-D je jedním z několika botnetů, které zavedly pokročilá technická opatření, aby zajistily, že jeho vlastníci neztratí kontrolu nad napadenými počítači. Hackeři používají příkazové a řídící servery k vydávání pokynů pro zombie PC, například kdy spustit spamovou kampaň.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

V případě Mega -D, budou hackované počítače vyhledávat určité názvy domén, aby si mohli stáhnout pokyny, napsal Atiq Mushtaq z firmy FireEye na blogu společnosti. Pokud tyto domény nejsou aktivní - jsou často vypnuty poskytovateli internetových služeb, pokud jsou spojeny se zneužíváním - Mega-D stroje vyhledají vlastní servery DNS (Domain Name System), aby našly živé domény.

Mega-D je naprogramován tak, aby generoval náhodný název domény na základě aktuálního data a času, napsal Mushtaq. Když hackeři zaregistrují název domény, infikované počítače tam mohou navštívit, aby získaly nové pokyny.

Mechanismy Mega-D, které zajistí, že zůstane naživu, obtížily bezpečnostní společnosti. "Pokud není někdo dostatečně odhodlán provést předregistrování těchto domén, stáda botů se mohou vždy vydat a registrovat domény a vzít kontrolu botnet zpět," napsal Mushtaq.

Včera večer začal FireEye útok, kontaktoval ISP měli stroje působící jako příkazové a řídící servery pro Mega-D. Všichni, kromě čtyř poskytovatelů služeb, uzavřeli připojení pro adresy IP používané společností Mega-D, píše Mushtaq. FireEye také kontaktoval registrátory, které řídí názvy domén používané pro Mega-D.

FireEye jako poslední opatření zaregistroval auto-generované názvy domén, které by infikované počítače Mega-D kontaktovaly, pokud se stroj nepodařilo oslovit jiné příkazy a příkazy, řídící uzly

Mushtaq napsal v pátek, že 264 784 jedinečných adres IP (Internet Protocol) kontaktovalo server FireEye "sinkhole" nebo server nastavený pro identifikaci infikovaných počítačů.

"Údaje shromážděné ze sinkhole serveru "

Doufáme, že poskytovatelé internetových služeb budou kontaktovat ty předplatitele a informovat je o tom, že potřebují spustit antivirovou kontrolu.

Úsilí společnosti FireEye společně se spoluprací poskytovatelů internetových služeb a registrátoři se zdá, že úspěšně zkrotili Mega-D, alespoň dočasně.

V pondělí statistiky M86 Security ukázaly, že Mega-D spam téměř skončil. V jednom předchozím bodě zaznamenal M86 jediný infikovaný počítač Mega-D, který odeslal až 15 000 nevyžádaných zpráv za hodinu.

"Je zřejmé, že je těžké, ale nemožné odstranit některé z nejhorších botnetů na světě, "Napsal Mushtaq.

Ale přerušení nemusí trvat dlouho. FireEye předcházelo Mega-D registrováním domén, které by botové hledali, ale tento proces může být nekonečný a nákladný. Pokud FireEye zastaví registraci domén a volání osiřelých robotů domů, mohou hackeři na ně načíst nový kód, čímž je složitější vypnout.

"Nejsme si jisti, jak dlouho budeme držet krok s těmito budoucími doménami," napsal Mushtaq.