Spamerzy odzyskują kontrolę nad botnetem Srizbi

Komputery zombie używane do wysyłania spamu są Powrót do życia.

Sprzedawcy bezpieczeństwa mówią, że spamerzy ponownie łączą się ze zhakowanymi komputerami używanymi do wysyłania spamu, o czym świadczy rosnąca liczba wiadomości spamowych krążących w Internecie w ciągu ostatnich kilku dni. Poziom spamu spadł nagle dwa tygodnie temu po zamknięciu McColo, fałszywego dostawcy usług internetowych (ISP) z siedzibą w San Jose w Kalifornii, którego łączność została wykorzystana do kontrolowania sieci setek tysięcy komputerów wysyłających spam, znanych jako botnety.

Według badaczy z FireEye komputery, które są częścią botnetu Srizbi - które według niektórych szacunków wysłały prawie połowę spamu na świecie - stają się znowu aktywne

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego Komputer z systemem Windows]

"Srizbi powrócił z martwych i zaczął aktualizować wszystkie swoje roboty nowym, nowym plikiem binarnym", wynika z posta zamieszczonego we wtorek przez Atifa Mushtaqa i Alexa Lansteina z FireEye. "Światowa aktualizacja rozpoczęła się zaledwie kilka godzin temu."

Komputery Srizbi kontrolowane były przez spamerzy za pośrednictwem sieci McColo. Kiedy McColo został zamknięty, komputery te próbowały oddzwonić i otrzymać nowe instrukcje wysyłania spamu. Ale operatorzy botnetu są sprytni i stworzyli sposób na odzyskanie tych maszyn, jeśli pozostaną na wolności.

Naukowcy z FireEye dokonali zasadniczo autopsji kodu Srizbi. Okazało się, że hakerzy wprowadzili algorytm, który dynamicznie generuje nazwę domeny, z której skompromitowany komputer może pobierać nowe instrukcje.

Hakerzy mogli następnie zarejestrować nazwę domeny i umieścić tam instrukcje, aby poinformować zhakowany komputer, aby przejść do innej serwer kontroli - a nie McColo's - dla nowych instrukcji.

Odkąd FireEye zorientował się, jak działa algorytm, firma zarejestrowała bełkotliwe nazwy domen, takie jak "auaopagr.com", wygenerowany algorytm. Kiedy te maszyny zgłosiły się do służby, nie było instrukcji. FireEye nie mógł jednak powstrzymać spamerów na zawsze, kupując nazwy domen.

Teraz komputery, które zostały zaatakowane, łączą się z nazwami domen zarejestrowanymi przez spamerów i otrzymują zaktualizowany kod, w tym szablony nowych kampanii antyspamowych. Nowe serwery kontroli i kontroli znajdują się w Estonii, a nazwy domen są kupowane od rejestratora w Rosji, powiedział FireEye.

Srizbi w tym samym czasie wyniosło ponad 450 000 komputerów, a do zobaczenia pozostaje jak wiele te maszyny mają zaktualizowany kod. Ale trzy inne botnety kontrolowane przez McColo - Rustocka, Cutwaila i Asprox - wszystkie wydają się również wracać online.

Dmitrij Samosseiko, sprzedawca zabezpieczeń komputerowych Sophos, napisał w środę, że poziomy spamu nagle wzrosły w tym tygodniu, z powodu w części po odrodzeniu botnetu Rustock.

Łączność McColo została krótko przywrócona przez pomyłkę przez TeliaSonorę, a cenne kilka godzin w Internecie pozwoliło spamerom powiedzieć komputerom zainfekowanym Rustockiem, gdzie można znaleźć nowe instrukcje.

Dostawca antyspamowy MessagLabs, który został niedawno zakupiony przez firmę Symantec, nie odnotował wzrostu spamu związanego ze Srizbi, powiedział Paul Wood, starszy analityk z brytyjskich biur.

Wood powiedział, że MessageLabs analizuje spam, który trafia do skrzynek odbiorczych 8 milionów użytkowników i może być tak, że Srizbi albo jeszcze nie przyspiesza, albo zmienia sposób, w jaki jest skierowany na ludzi.

Ale MessageLabs zauważyło wzrost spamu pochodzącego z Rustock, Cutwail i Asprox, który wskazywałby na te Przychodzą zwłoki Srizbi.

"Jak każdy biznes, jeśli kurier ustąpi lub będzie strajkował, znajdziesz alternatywnego dostawcę," powiedział Wood.

Mimo to, poziom spamu wynosi około 40 procent tego, co oni zanim McColo upadł, powiedział Wood.