FireEye Hızlı Bir Şekilde Çıktı Mega-D Botnet

Botnet'lerle mücadele ettiği bilinen bir bilgisayar güvenlik şirketi, geçen hafta, kalıcı bir spam oynatıcıyı kapatmaya çalışmak için harekete geçti.

Güvenlik aygıtlarını yapan bir California şirketi olan FireEye, Mega adlı bir botnet'i izliyordu. -D veya Ozdok. M86 Güvenlik'e göre, bilgisayar korsanlığı yapan bir ağ olan Mega-D, dünyanın istenmeyen postalarının yüzde 4'ünden fazlasını göndermekten sorumlu. Mega-D'yi oluşturan bilgisayarların birçoğu evdeki PC'lere bulaştı.

Mega-D, sahiplerinin saldırıya uğramış PC'lerin kontrolünü kaybetmediğinden emin olmak için gelişmiş teknik önlemleri uygulayan birkaç botnetten biri. Bilgisayar korsanları, bir spam kampanyasının ne zaman çalıştırılacağı gibi, zombi bilgisayarlarına talimatlar vermek için komut ve kontrol sunucuları kullanır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Mega durumunda -D, saldırıya uğrayan PC'ler, talimatları indirmek için belirli alan adlarını arayacak, şirketin blogunda FireEye Atiq Mushtaq yazdı. Bu alan adları etkin değilse - genellikle kötüye kullanımla ilişkilendirildikleri takdirde İSS'ler tarafından kapatılırlar - Mega-D makineleri, canlı etki alanlarını bulmak için özel DNS (Etki Alanı Adı Sistemi) sunucuları arayacaktır.

Mushtaq, Mega-D'nin şu anki tarih ve zamana göre rastgele bir alan adı üretecek şekilde programlandığını da yazdı. Hackerlar alan adını kaydettiklerinde, enfekte olmuş makineler yeni talimatlar almak için orayı ziyaret edebilirler.

Mega-D'nin hayatta kalmasını sağlayan mekanizmaları güvenlik şirketlerini zorlaştırdı. Mushtaq şöyle yazdı: "Geçtiğimiz Perşembe gecesi, geçtiğimiz Perşembe gecesi FireEye, İSS'lerle iletişime geçerek bu saldırıyı başlattı:" Perşembe günü, bu alanlar önceden kaydedilebilecek kadar bir şey yapmadıkça, bot kullanıcıları her zaman ileriye gidip bu alanları kaydedip botnet kontrolünü geri alabilirler. " Mega-D için komuta ve kontrol sunucuları olarak çalışan makineler vardı. Mushtaq, dört servis sağlayıcısının tamamının, Mega-D tarafından kullanılan IP adresleri için bağlantıları kapattığını yazdı. FireEye, Mega-D için kullanılan alan adlarını kontrol eden kayıt şirketleri ile de temas kurdu.

Son bir önlem olarak, FireEye, Mega-D bilgisayarlarının bulaştığı otomatik olarak oluşturulan alan adlarını, makineler diğer komutlara erişemediğinde temasa geçtiler. kontrol düğümleri

Mushtaq Cuma günü, bazı 264.784 adet benzersiz IP (İnternet Protokolü) adresinin FireEye'ın "batık" sunucusuna ya da virüs bulaşmış bilgisayarları tanımlamak için kurulan bir sunucuya bağlantı kurduğunu yazdı.

"Sızıntı sunucusundan toplanan veriler.

Kurban makinelerini tanımlamak için günlükler kullanılacaktır, "Mushtaq yazdı.

Sonra ISP'lerin bu abonelerle iletişime geçeceklerini ve bir antivirüs taraması yapmaları gerektiğini onlara bildireceklerini umuyoruz.

İttifakların işbirliği ile birlikte FireEye'in çabaları. ve kayıt şirketleri, en azından geçici olarak Mega-D'yi başarılı bir şekilde yakalamış görünüyorlar.

Pazartesi günü, M86 Güvenlik'ten gelen istatistikler Mega-D spam'in neredeyse durduğunu gösterdi. Daha önceki bir noktada, M86, tek bir Mega-D virüslü bilgisayarın saatte 15.000'e kadar spam mesajı göndermesine yol açmıştı.

"Açıkçası, dünyanın en uçtaki bazı botnetlerini atlatmanın zor ama imkânsız olduğunu gösteriyor, "Mushtaq yazdı.

Ama geri kalan uzun sürmeyebilir. FireEye, robotların arayacakları alanların tescil edilmesiyle Mega-D'yi önceden boşalttı, ancak bu süreç asla bitmeyen ve pahalı olabilir. Eğer FireEye sahaları kaydetmeyi durdurursa ve yetim botlar evlerini çağırırsa, bilgisayar korsanları kapatılmaları daha zor hale getirmek için kendilerine yeni bir kod yükleyebilirler.

"Bu gelecek alanlara ayak uydurabileceğimizden emin değiliz," diye yazdı Mushtaq.