ISP estonian elimină serverele de control pentru Srizbi Botnet

Un ISP estonian care a găzduit temporar serverele de comandă și control pentru botnetul Srizbi, responsabil pentru o mare parte din spam-ul mondial, a întrerupt serverele respective, potrivit analiștilor de securitate informatică.

Starline Web Services, cu sediul în capitala Estonia din Tallinn, a găzduit patru nume de domenii identificate drept puncte de control pentru Srizbi, potrivit cercetătorilor firmei de securitate FireEye

Sute de mii de PC-uri din întreaga lume infectate cu Srizbi, un rootkit dificil de eliminat folosit pentru trimiterea de mesaje spam, a fost programat să caute noi instrucțiuni de la serverele din acele domenii.

[Citirea suplimentară: Cum să eliminați malware-ul de pe PC-ul dvs. de Windows]

Srizbi is consi a impus unul dintre botneturile mai puternice, cu cel puțin 450.000 de PC-uri infectate. Se estimează că jumătate din spam-ul mondial a provenit de la computerele infectate cu Srizbi. Spam-ul rămâne o afacere profitabilă pentru infractorii cibernetici.

Dar spammerii au pierdut controlul asupra Srizbi atunci când ISP-ul care a găzduit anterior serverele de comandă-comandă a fost întrerupt de pe Internet. McColo, al cărui servere are sediul în San Jose, California, a fost întrerupt de către furnizorii săi în amonte la începutul acestei luni, după ce a fost expus de experții în domeniul securității informatice și de la Washington Post.

Ceea ce a lăsat spammanii să nu poată controla computerele infectate cu Srizbi. Dar codul lui Srizbi conținea un mecanism de rezervă în cazul în care spammerii s-ar putea reconecta cu mașinile blocate dacă a apărut un astfel de scenariu.

Un algoritm în cadrul Srizbi ar genera periodic noi nume de domeniu unde malware-ul ar căuta noi instrucțiuni dacă aceste domenii erau live pe Internet. Înarmați cu acelasi algoritm, spammerii au avut de-a face doar să înregistreze numele de domenii adecvate și să-i îndrume către serverele lor.

Cu toate acestea, spammerii aveau nevoie de un nou ISP pentru a găzdui acele servere, cel puțin pentru o perioadă. Ei au descoperit că Starline Web Services, un ISP foarte mic, dar acel furnizor le-a tăiat de asemenea.

"Am fost mulțumit că aceste site-uri au fost închise", a declarat Hillar Aarelaid, șef de securitate al echipei de răspuns în caz de urgență CERT), joi.

Încercările de a contacta Starline Web Services nu au avut succes. Dar Aarelaid a spus că CERT a fost în contact cu compania și pare să răspundă la plângerile privind abuzul.

Starline Web Services își cumpără conectivitatea de la Compic, o altă companie estonă. Complic a fost marcată de CERT din Estonia ca având site-uri web care găzduiesc programe rău intenționate, a declarat Tarmo Randel, expert în securitatea informațiilor din cadrul organizației.

Randel a spus că CERT a notificat în mod constant Compic despre malware-ul pe care l-au găzduit. Compic va lua măsuri pentru a elimina site-urile în funcție de "cât de tare țipă", a spus Randel. De obicei, Compic reacționează repede când CERT trimite un mesaj de plângere prin e-mail - și copiază poliția criminală estonă, a spus Randel.

Între timp, furnizorul de servicii Compic, Linxtelecom, a trimis un e-mail către comunitatea ISP estonă care intentioneaza sa taie Compic, a declarat Randal.

Linxtelecom vinde servicii de tranzit prin IP care leaga ISP-ii locali si operatorii de telecomunicatii de transportatori de date mai mari. Linxtelecom a declarat în e-mail că 99% dintre plângerile pe care le primește în legătură cu abuzurile sunt legate de Compic, a spus Randel.

Un oficial al Linxtelecom a declarat că nu știe despre e-mail. Compic nu răspunde la plângeri în termen de două zile, dar Linxtelecom a întrerupt în trecut conexiunile cu site-urile web găzduite de Compic după plângeri, a declarat oficialul.

Experții în domeniul securității informatice spun că există o serie de ISP-uri și registratori de nume de domeniu care să colaboreze îndeaproape cu infractorii cibernetici pentru a sprijini operațiile de spam, site-urile Web care vând software fals și alte tipuri de escrocherii.

Operațiunile sunt dificil de oprit din cauza naturii lor internaționale, a vitezei cu care ciberneii reacționează la opriri și lipsa resurselor de aplicare a legii sau a interesului.

Închiderea lui McColo a venit după publicarea cercetărilor care au arătat măsura în care compania a fost implicată în subteranul criminal.

În mod similar, un alt ISP rău cunoscut - cunoscut sub numele de Atrivo sau Intercage - a fost întrerupt de furnizorii săi în amonte în septembrie, ca rezultat al presiunii crescânde din partea comunității de securitate a calculatorului. cazurile recente de McColo și Atrivo / Intercage întreprinse de pe Internet, va fi mai ușor în viitor să exercite mai multă presiune asupra celorlalți hosteri de badware pentru a acționa sau a ieși offline ", a declarat Toralv Dirro, strateg de securitate pentru McAfee Avert Labs Thurday.