Spamery obnovují kontrolu nad Srizbi Botnet

Bezpečnostní prodejci říkají, že spamátoři se znovu připojují k hackerům používaným k odesílání nevyžádané pošty, o čemž svědčí rostoucí počet spamových zpráv, které se v posledních několika dnech objevují na internetu. Úrovně spamu náhle poklesly před dvěma týdny po vypnutí společnosti McColo, špinavého ISP (poskytovatele internetových služeb) se sídlem v San Jose, Kalifornie, jehož konektivita byla použita pro kontrolu sítí stovek tisíc počítačů, které posílají spam, známý jako botnety.

Počítače, které jsou součástí botnetu Srizbi - které podle některých odhadů vyslaly téměř polovinu spamu na světě - se podle výzkumníků společnosti FireEye zřejmě objevují znovu.

[Další informace: Jak odstranit malware z vašeho počítače Windows PC]

"Srizbi se vrátil z mrtvých a začal aktualizovat všechny své boty čerstvým novým binárním systémem", napsal v úterý blog Atif Mushtaq a Alex Lanstein z firmy FireEye. "Celosvětová aktualizace se začala jen před několika hodinami."

Srizbi počítače byly řízeny spammeři přes síť McColo. Když byl McColo vypnutý, pokoušeli se tyto počítače zavolat zpět a dostat nové pokyny pro zasílání nevyžádané pošty. Ale operátoři botnetu jsou šikovní a vytvořili způsob, jak tyto stroje vrátit, pokud by byli uvízli.

Výzkumníci společnosti FireEye v podstatě provedli pitvu na kódu Srizbiho. Zjistili, že hackeři zavedli algoritmus, který dynamicky generuje název domény, ze kterého by mohl kompromitovaný počítač načíst nové instrukce.

Hackeři by pak mohli zaregistrovat tento název domény a dát instrukce tam, aby informovali ohrožený počítač, příkazový a řídící server - ne McColo's - pro nové pokyny.

Vzhledem k tomu, že společnost FireEye zjistila, jak algoritmus funguje, společnost zaregistrovala gibberish doménová jména, jako "auaopagr.com", které algoritmus generoval. Když tyto stroje hlásily službu, nebyly tam žádné pokyny. FireEye však nemohl navždy zabránit spammům kupováním doménových jmen.

Nyní se kompromitované počítače připojují k jménům domén registrovaným spammery a získávají aktualizovaný kód včetně šablon pro nové spamové kampaně. Nové řídicí a řídící servery jsou v Estonsku a doménová jména jsou zakoupena u registrátora v Rusku, uvedl FireEye.

Srizbi najednou činil více než 450 000 počítačů a zbývá vidět, kolik z nich tyto stroje mají aktualizovaný kód. Ale tři další botnety, které byly řízeny prostřednictvím společnosti McColo - Rustock, Cutwail a Asprox - se také zdají být také online.

Dmitry Samosseiko, prodejce počítačové bezpečnosti Sophos napsal ve středu, že hladiny nevyžádané pošty náhle vzrostly tento týden zčásti k oživení botnetu Rustock

McColo je konektivita byla omylem obnovena omylem společností TeliaSonora a drahé několik hodin on-line umožnilo spamerům říct počítačům nakaženým Rustockem, kam jít na nové pokyny.

Anaspam prodejce MessagLabs, který nedávno získal společnost Symantec, nezaznamenal nárůst nevyžádané pošty související se Srizbi, uvedl Paul Wood, senior analytik se sídlem ve svých pobočkách ve Spojeném království.

Wood uvedl, že MessageLabs analyzuje nevyžádanou poštu, která skončí ve schránkách svých 8 milionů uživatelé a může být, že Srizbi buď není dosáhl rychlosti, nebo změnil, jak se zaměřuje na lidi.

Ale MessageLabs si všiml uptick spamu z Rustock, Cutwail a Asprox, což by naznačovalo, ets vyzdvihne Srizbiovo uvolnění. "" Jako každý druh podnikání, pokud váš kurýř jde dolů nebo jde do stávky, najdete alternativního poskytovatele, "řekl Wood.

Naproti tomu úroveň nevyžádané pošty je kolem 40 procent toho, co byli před tím, než McColo šel dolů, řekl Wood