Spammerii recastigand controlul asupra Srizbi Botnet

Furnizorii de securitate spun că spam-ul se reconectează cu PC-uri hacked folosite pentru trimiterea de spam, evidențiată de un număr tot mai mare de mesaje spam care circulă pe Internet în ultimele zile. Nivelurile de spam au scăzut brusc în urmă cu două săptămâni, după închiderea McColo, un furnizor de servicii de Internet (ISP) necinstit din San Jose, California, a cărui conectivitate a fost utilizată pentru a controla rețelele a sute de mii de computere pentru a trimite spam, cunoscut sub numele de botneturi.

Computerele care fac parte din botnetul Srizbi - care, după unele estimări, au trimis aproape jumătate din spam-ul mondial - se pare că vor deveni active din nou, potrivit unor cercetători de la FireEye

[Citire suplimentară: Cum să eliminați programele malware de la dvs. Windows PC]

"Srizbi sa întors din morți și a început să-și actualizeze toate roboții cu un binar nou, nou", potrivit unui post de blog marcat de Atif Mushtaq și Alex Lanstein de la FireEye. "Actualizarea la nivel mondial a început acum câteva ore."

Computerele lui Srizbi au fost controlate de spammeri prin intermediul rețelei McColo. Când McColo a fost oprit, acele computere au încercat să apeleze înapoi și să primească instrucțiuni noi pentru a trimite spam. Dar operatorii botnet sunt deștepți și au creat o cale să-i aducă mașinile înapoi dacă au fost blocați.

Cercetătorii FireEye au făcut în esență o autopsie pe codul lui Srizbi. Ei au descoperit că hackerii au pus un algoritm care generează în mod dinamic un nume de domeniu de la care un computer compromis ar putea să aducă instrucțiuni noi.

Hackerii ar putea apoi să înregistreze numele de domeniu și să introducă instrucțiuni acolo pentru a spune PC-ului compromis să meargă la un alt comandă și control - nu McColo's - pentru instrucțiuni noi.

Întrucât FireEye și-a dat seama cum a funcționat algoritmul, compania a înregistrat numele de domenii gibberiste, cum ar fi "auaopagr.com", generate de algoritm. Când mașinile au raportat pentru serviciu, nu au existat instrucțiuni. Însă FireEye nu a reușit să păstreze premeditat spam-urile pentru totdeauna prin cumpărarea de nume de domenii.

Acum, computerele compromise se conectează la numele de domeniu înregistrate de spammeri și primesc cod actualizat, inclusiv șabloane pentru campaniile noi de spam. Noile servere de comandă și control se află în Estonia, iar numele de domeniu sunt achiziționate de la un registrator din Rusia, a declarat FireEye.

Srizbi a reprezentat la un moment dat mai mult de 450.000 de PC-uri și rămâne de văzut câte aceste mașini au cod actualizat. Dar trei alte botnete care au fost controlate prin McColo - Rustock, Cutwail și Asprox - toate par să se întoarcă și online.

Dmitry Samosseiko de la vânzătorul de securitate informatică Sophos a scris miercuri că nivelurile de spam au crescut brusc la începutul acestei săptămâni parțial pentru reînvierea botnet-ului Rustock

Conectivitatea lui McColo a fost restaurată pe scurt din greșeală de către TeliaSonora, iar prețioasele ore on-line au permis spammerilor să spună calculatoarelor infectate cu Rustock unde să meargă pentru noi instrucțiuni

Vendor Antispam MessagLabs, care a fost recent achizitionata de Symantec, nu a inregistrat o crestere a spam-ului asociat cu Srizbi, a declarat Paul Wood, analist principal in birourile din Marea Britanie.

Wood a declarat MessageLabs analizeaza spam-ul care se termina in inbox-urile celor 8 milioane utilizatorii și s-ar putea ca Srizbi să nu fie încă la viteză sau să schimbe modul în care vizează utilizatorii.

Dar MessageLabs a observat o creștere a spam-ului provenind de la Rustock, Cutwail și Asprox, "

" Ca orice fel de afacere daca curierul va cobori sau se afla in greva, veti gasi un furnizor alternativ ", a spus Wood.

Totusi, nivelurile de spam sunt in jur de 40% din ceea ce au erau înainte ca McColo să coboare, a spus Wood.