Shadowserver převezme jako Mega-D Botnet Herder

Je vynaloženo úsilí na vyčištění desítek tisíc počítačů nakažených škodlivým softwarem známým pro vypalování tisíců nevyžádaných zpráv za hodinu.

Infikované počítače jsou součástí botnetu nazvaného Ozdok nebo Mega-D, který najednou vysílal zhruba 4 procent spamových zpráv na světě.

Minulý týden dodavatel zabezpečení FireEye spustil disketu pro demontáž botnetu. Infikované počítače dostávají pokyny a informace o nových spamových kampaních prostřednictvím serverů příkazu a kontroly. FireEye kontaktoval poskytovatele sítí, které hostovaly tyto servery a většina z nich byla vypnuta.

To znamená, že lidé, kteří ovládají napadené počítače, známé jako botníci, nemohli Nejdříve kontaktuje většinu svých botů. Spam z Mega-D se téměř úplně zastavil. FireEye také přerušil druhý mechanismus redundance, který byl programován do Mega-D.

Pokud infikované počítače nemohou kontaktovat server příkazového a řídicího systému, jsou naprogramovány algoritmem, který generuje náhodný název domény a zkuste kontaktovat tuto doménu denně. Zvířata vědí, co tato doména bude, a mohou tam načíst nové instrukce.

Pokud tyto infikované stroje získají nové pokyny, pravděpodobně to znamená, že FireEye ztratí kontrolu a musí začít znovu a pokusit se zavřít Mega-D. FireEye zaregistroval tyto domény, aby zabránil pádu botnetů, aby znovu získali kontrolu.

Ovšem společnost FireEye nyní podávala kontrolu nad těmito boty společnosti Shadowserver, organizaci s dobrovolníky, která sleduje botnety.

Shadowserver převzal administraci "sinkhole", nebo počítač, který má vlastní software, který funguje jako server příkazů a kontrol, který budou roboty Mega-D používat, řekl Andre M. DiMino, spoluzakladatel společnosti Shadowserver.

Shadowserver je nyní v proces identifikace jednotlivých počítačů nakažených Mega-D a pak kontaktování poskytovatelů služeb pro ty infikované hostitele. Cílem je poskytnout těmto poskytovatelům služby kontakt s vlastníky těchto počítačů a požádat je, aby spustili antivirovou kontrolu, aby odstranili infekci a vymazali Mega-D.

"Je pro ISP určite výzvou, úroveň účastníků a rozumíme tomu, "řekl DiMino. "Nejlepší, co děláme v tomto okamžiku, je získat identifikační údaje, které nám pomohou poskytovatelům internetových služeb. V ideálním případě je cílem vyčistit infikovaný počítač."

Shadowserver pravidelně odesílá bezplatný seznam infikovaných počítačů poskytovatelů služeb, ale identifikace strojů není snadná. Firemní sítě často zobrazují pouze jednu adresu externího protokolu IP (internetový protokol) pro stovky uživatelů a poskytovatelé internetových služeb přiřadí počítačům různé adresy IP, protože uživatelé zapínají a vypínají počítače, uvedl DiMino.

Upevnění těchto počítačů může být pomalým procesem, protože se odhaduje, že až 500 000 počítačů po celém světě je nakaženo Mega-D a nejedná se o největší botnet. Například Conficker infikuje až 7 milionů strojů.

Podle blogu FireEye má Brazílie 11,5% z celkového počtu infekcí Mega-D, po něm následuje Indie a Vietnam. DiMino řekl, že Shadowserver má silné vazby s týmy pro reakci na mimořádné situace v počítačových sítích po celém světě, včetně Brazílie, které mohou pomoci s provozovateli sítí.

I když Mega-D nemůže být úplně zabit, "někdy narušení je realističtější, "Řekl DiMino." "Uvidíme, jaký je ten účinek," řekl. "Porota je stále venku."