Shadowserver Mega-D Botnet Herder Olarak Devralmaya Geçti

Saatte binlerce spam mesajının çalkalanmasıyla bilinen zararlı yazılımlarla bulaşan on binlerce bilgisayarı temizlemek için çaba harcanıyor.

Bulaştırılmış bilgisayarlar Ozdok adlı bir botnet'in parçası veya Mega-D, bir keresinde dünyanın spam mesajlarının yaklaşık yüzde 4'ünü gönderiyordu.

Geçen hafta, güvenlik sağlayıcısı FireEyela botnet'leri sökmek için bir araba kullanıyordu. Virüslü bilgisayarlar, komut ve kontrol sunucuları aracılığıyla yeni spam kampanyaları için talimatlar ve bilgi alır. FireEye, bu sunucuları barındıran ağ sağlayıcılarıyla temasa geçti ve çoğu kapatıldı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Yani, botnet çobanları olarak bilinen saldırıya uğramış PC'leri kontrol eden insanlar Artık botlarının çoğuna başvurma. Mega-D'den gelen spam neredeyse tamamen durdu. FireEye ayrıca, çobanların Mega-D'ye programladıkları ikinci bir fazlalık mekanizmasını da kesti.

Bulaştırılmış makineler bir komut-kontrol sunucusuyla iletişim kuramazsa, rastgele bir alan adı oluşturacak bir algoritma ile programlanırlar. Bu alanı her gün iletişime geçmeye çalışın. Sürüler bu alanın ne olacağını biliyor ve orada yeni talimatlar yükleyebiliyorlar.

Bu virüslü makineler yeni talimatlar alıyorsa, muhtemelen FireEye'nin kontrolü kaybedeceği ve Mega-D'yi kapatmak için tekrar başlaması gerektiği anlamına geliyor. FireEye, botnet tutsaklarının kontrolünü yeniden ele geçirmelerini önlemek için bu alanları kaydettiriyor.

Ama FireEye şu anda, botları izleyen gönüllü bir organizasyon olan Shadowserver'a kontrol ediyor.

Shadowserver yönetimini devraldı. Shadowserver'ın kurucu ortağı Andre 'M. DiMino, Shadowserver'ın şu anda, "sinkhole" ya da Mega-D robotlarının arayacağı bir komut ve kontrol sunucusu olarak hareket eden özel bir yazılım çalıştıran bir bilgisayar. Mega-D bulaşmış bireysel bilgisayarları tanımlama ve daha sonra bu virüs bulaşmış ana bilgisayarlar için servis sağlayıcıları ile iletişim kurma işlemi. Amaç, bu servis sağlayıcıların bu bilgisayarların sahipleriyle iletişim kurmasını sağlamak ve enfeksiyonu ortadan kaldırmak ve Mega-D'yi ortadan kaldırmak için bir antivirüs taraması yapmasını istemek.

"ISP'lerin çalışmasına kesinlikle bir meydan okumadır. Abone seviyesinde, ve biz biliyoruz ki, "DiMino dedi. "Bu noktada yaptığımız en iyi şey, ISS'nin onlara yardım etmesini sağlayabileceğimiz kadar tanınır. İdeal olan, enfekte makineyi temizlemektir."

Shadowserver düzenli olarak bulaşmış makinelerin ücretsiz bir listesini gönderir. servis sağlayıcılar, ancak tanımlayıcı makineler kolay değildir. Şirket ağları genellikle yüzlerce kullanıcı için yalnızca bir tane harici IP (Internet protokolü) adresi gösterir ve kullanıcılar bilgisayarları açıp kapattıkça ISP'ler bilgisayarlara farklı IP adresleri atar, DiMino dedi.

Bu bilgisayarların sabitlenmesi yavaş bir süreç olabilir. Dünyanın dört bir yanındaki 500.000 bilgisayarın Mega-D ile enfekte olduğu tahmin ediliyor ve bu da en büyük botnet değil. Örneğin, Conficker'ın 7 milyona kadar makineye bulaştığı tahmin ediliyor.

Brezilya, Mega-D enfeksiyonlarının yüzde 11.5'ini, ardından da Hindistan ve Vietnam'ı takip ediyor. DiMino, Shadowserver'ın tüm dünyadaki Bilgisayar Acil Müdahale Ekipleri ile güçlü bağları olduğunu söyledi. Bunlar arasında, ağ sunucuları ile çalışılmasına yardımcı olabilecek Brezilya'lar da var.

Mega-D tamamen ortadan kaldırılamayacak olsa bile, bazen kesinti daha gerçekçi. "DiMino dedi.

" Efektin ne olduğunu göreceğiz "dedi. "Jüri hala dışarıda."