Shadowserver przejmie rolę Mega-D Botnet Herder

Trwają prace nad oczyszczeniem dziesiątek tysięcy komputerów zainfekowanych złośliwym oprogramowaniem znanym z generowania tysięcy wiadomości spamowych na godzinę.

Zainfekowane komputery są częścią botnetu zwanego Ozdok lub Mega-D, który w tym samym czasie wysyłał około 4 procent wiadomości spamowych na świecie.

W zeszłym tygodniu sprzedawca bezpieczeństwa FireEyela przełączył dysk, by zdemontować botnet. Zainfekowane komputery otrzymują instrukcje i informacje dotyczące nowych kampanii antyspamowych za pośrednictwem serwerów kontroli i kontroli. FireEye skontaktował się z dostawcami sieci, którzy hostowali te serwery, a większość z nich została zamknięta.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Oznaczało to, że osoby kontrolujące zhakowane komputery, znane jako hodowcy botnetów, mogły nie kontaktuję się już z większością ich botów. Spam z Mega-D prawie całkowicie ustał. FireEye odciął również drugi mechanizm redundancji, w którym hodowcy zaprogramowali się na Mega-D.

Jeśli zainfekowane maszyny nie mogą skontaktować się z serwerem kontroli, są zaprogramowane algorytmem, który wygeneruje losową nazwę domeny i spróbuj skontaktować się z tą domeną codziennie. Pasterze wiedzą, jaka jest ta domena i mogą tam przesłać nowe instrukcje.

Jeśli te zainfekowane maszyny otrzymają nowe instrukcje, prawdopodobnie oznacza to, że FireEye straci kontrolę i musi zacząć od nowa, aby spróbować zamknąć Mega-D. FireEye rejestruje te domeny, aby uniemożliwić hodowcom botnetów odzyskanie kontroli.

Ale FireEye przekazał kontrolę nad tymi botami organizacji Shadowserver, organizacji prowadzącej wolontariuszy, która śledzi botnety.

Shadowserver przejął administrację "wgłębienie" lub komputer z oprogramowaniem niestandardowym, które działa jak serwer kontroli i kontroli, do którego wezwą boty Mega-D, powiedział Andre M. DiMino, współzałożyciel firmy Shadowserver.

Shadowserver jest teraz w proces identyfikacji pojedynczych komputerów zainfekowanych Mega-D, a następnie skontaktowanie się z dostawcami usług dla zainfekowanych hostów. Celem jest umożliwienie dostawcom usług skontaktowanie się z właścicielami tych komputerów i poproszenie ich o wykonanie skanowania antywirusowego w celu usunięcia infekcji i wyeliminowania Mega-D.

"Z pewnością jest to wyzwanie dla dostawców usług internetowych poziom subskrybentów i rozumiemy to "- powiedział DiMino. "Najlepszą rzeczą, jaką robimy w tym momencie, jest identyfikacja jak największej ilości informacji dla ISP, aby im pomóc." Idealnie celem jest oczyszczenie zainfekowanej maszyny.

Shadowserver regularnie wysyła bezpłatną listę zainfekowanych maszyn dostawców usług, ale identyfikacja maszyn nie jest łatwa. Sieci korporacyjne często pokazują tylko jeden zewnętrzny adres IP (protokół internetowy) dla setek użytkowników, a usługodawcy internetowi przydzielają różne adresy IP komputerom, podczas gdy użytkownicy włączają i wyłączają swoje komputery, powiedział DiMino.

Naprawianie tych komputerów może być powolnym procesem, jak się szacuje, że do 500 000 komputerów na całym świecie jest zarażonych Mega-D i nie jest to w żaden sposób największy botnet. Szacuje się, że na przykład Conficker zainfekował do 7 milionów komputerów.

Brazylia ma 11,5% wszystkich infekcji Mega-D, a następnie Indii i Wietnamu, zgodnie z blogiem FireEye. DiMino powiedział, że Shadowserver ma silne powiązania z zespołami ratownictwa komputerowego na całym świecie, w tym z Brazylią, które mogą pomóc w pracy z dostawcami sieci.

Nawet jeśli Mega-D nie może zostać całkowicie zniszczony, "czasami zakłócenia są bardziej realistyczne, "DiMino powiedział.

" Zobaczymy, jaki jest efekt, "powiedział. "Jury nadal nie działa."