FireEye se misca rapid pentru a sustrage Mega-D Botnet

O companie de securitate informatică cunoscută pentru lupta cu botneturile sa mutat săptămâna trecută pentru a încerca să închidă un jucător de spam persistent.

FireEye, o companie din California care face echipamente de securitate, a urmărit un botnet numit Mega -D sau Ozdok. Mega-D, o rețea de computere hackate, a fost responsabilă pentru trimiterea a peste 4% din spam-ul mondial, potrivit lui M86 Security. Multe dintre computerele care alcătuiesc Mega-D sunt PC-uri infectate la domiciliu.

Mega-D este unul dintre mai multe botnete care au implementat măsuri tehnice avansate pentru a se asigura că proprietarii lor nu pierd controlul PC-urilor hackate. Hackerii folosesc serverele de comandă și control pentru a emite instrucțiuni către PC-urile zombie, cum ar fi când să ruleze o campanie de spam.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

În cazul Mega -D, PC-urile hacked vor căuta anumite nume de domenii pentru a descărca instrucțiuni, a scris Atiq Mushtaq de la FireEye pe blogul companiei. Dacă acele domenii nu sunt active - acestea sunt adesea închise de ISP-uri dacă sunt asociate cu abuzul - Aparatele Mega-D vor căuta servere personalizate DNS (Domain Name System) pentru a găsi domenii live. Mega-D este programat să genereze un nume de domeniu aleatoriu bazat pe data și ora curente, a scris Mushtaq. Atunci când hackerii înregistrează numele domeniului, mașinile infectate pot vizita acolo pentru a obține instrucțiuni noi.

Mecanismele Mega-D pentru a se asigura că acestea rămân în viață au făcut dificilă companiile de securitate. "Cu excepția cazului în care cineva se angajează suficient pentru a preînregistra aceste domenii, păstorii bot se pot întoarce întotdeauna și pot înregistra acele domenii și vor lua controlul botnet", a scris Mushtaq.

Joi seara, FireEye și-a început atacul, a avut mașini care acționează ca servere de comandă și control pentru Mega-D. Doar cei patru furnizori de servicii închid conexiunile pentru adresele IP utilizate de Mega-D, a scris Mushtaq. FireEye a contactat de asemenea registratorii care controlează numele de domenii utilizate pentru Mega-D.

În ultimă măsură, FireEye a înregistrat numele de domenii generate automat pe care infectate computerele Mega-D le-ar contacta în cazul în care aparatele nu au reușit să ajungă la alte comenzi- noduri de control

Mushtaq a scris vineri că aproximativ 264.784 adrese IP unice au contactat serverul "sinkhole" al FireEye sau un server creat pentru a identifica PC-urile infectate

"Datele colectate de la serverul de sinkhole va fi folosit pentru a identifica mașinile victime ", a spus Mushtaq.

Se speră că ISP-urile vor contacta acești abonați și îi vor informa că trebuie să ruleze o scanare antivirus.

Eforturile FireEye, împreună cu cooperarea ISP-urilor și registratorii, par să fi reușit să meargă cu Mega-D, cel puțin temporar.

Luni, statisticile de la M86 Security au arătat că spam-ul Mega-D aproape că sa oprit. La un moment dat, M86 a văzut un singur calculator infectat cu Mega-D care trimite cel puțin 15.000 de mesaje spam pe oră.

"Se arată clar că este dificil, dar nu imposibil să scoatem din uz unele dintre cele mai nastice botneturi ale lumii, "A scris Mushtaq.

Dar amânarea nu poate dura mult timp. FireEye a împiedicat Mega-D prin înregistrarea domeniilor pe care le-ar căuta roboții, dar acest proces poate fi nesfârșit și scump. Dacă FireEye oprește înregistrarea domeniilor, iar cei care au sunat acasă, hackerii ar putea încărca un nou cod pentru a le face mai dificil să închidă.

"Nu suntem siguri de cât timp putem ține pasul cu aceste domenii viitoare", a scris Mushtaq.