Spamcılar Srizbi Botnet Üzerinde Kontrolü Geri Alıyor

Spam göndermek için kullanılan zombi bilgisayarlar Hayata geri dönüyor.

Güvenlik satıcıları, spam gönderenlerin, son birkaç gün içinde internette dolaşan artan sayıda spam iletinin gösterdiği gibi spam göndermek için kullanılan bilgisayar korsanları ile yeniden bağlantı kurduğunu söylüyor. Spam seviyeleri, iki hafta önce, San Francisco, Kaliforniya'da bulunan ve aralarında yüz binlerce bilgisayarın ağlarını botnet olarak bilinen spam gönderen ağları kontrol etmek için kullanılan sahtekar bir ISP (Internet Servis Sağlayıcısı) olan McColo'nun kapatılmasından iki hafta sonra düştü.

Serebi botnet'in bir parçası olan - bazı tahminlere göre dünyanın spam'inin yaklaşık yarısını gönderen bilgisayar - görünüşe göre FireEye'den gelen araştırmacılara göre tekrar aktif hale geliyor.

[Ekstra okuma: Kötü amaçlı yazılımlar nasıl kaldırılır? Windows PC]

"Srizbi, ölülerden döndü ve tüm botlarını yeni, yeni bir ikili ile güncellemeye başladı", Salı günü Atif Mushtaq ve FireEye'den Alex Lanstein'ın blog yazısına göre. "Dünya çapında güncelleme sadece birkaç saat önce başladı."

Srizbi'nin bilgisayarları, McColo'nun ağı üzerinden spam gönderenler tarafından kontrol edildi. McColo kapatıldığında, bu bilgisayarlar geri aramak ve spam göndermek için yeni talimatlar almaya çalıştı. Ama botnet operatörleri zekice ve bu makinelere geri dönmeleri için bir yol yarattılar.

FireEye araştırmacıları esasen Srizbi'nin kodu üzerinde bir otopsi yaptılar. Bilgisayar korsanlarının, güvenlik açığı bulunan bir bilgisayarın yeni talimatlar getirebileceği bir alan adını dinamik olarak yaratan bir algoritma koyduğunu fark ettiler.

Hackerlar daha sonra bu alan adını kaydedip tehlikeye atılan PC'ye farklı bir alana gitmesi için talimatlar koyabilirler. komut ve kontrol sunucusu - McColo'nun değil - yeni talimatlar için

FireEye, algoritmanın nasıl çalıştığını anladığından, şirket, algoritmanın oluşturduğu "auaopagr.com" gibi anlamsız alan adlarını kaydetti. Bu makineler görev için bildirildiğinde, talimatlar yoktu. Ancak, FireEye, alan adlarını satın alarak spam göndericilerini sonsuza dek beklemeyi başaramadı.

Artık, güvenliği ihlal edilen bilgisayarlar spam gönderenler tarafından kaydedilen alan adlarına bağlanıyor ve yeni spam kampanyaları için şablonlar da dahil olmak üzere güncellenmiş kodlar alıyor. Yeni komuta kontrol sunucuları Estonya'da ve alan adları Rusya'da bir kayıt memurundan alınıyor, dedi FireEye.

Srizbi bir kerede 450.000'den fazla PC'ye ulaştı ve kaç tane olduğu görülüyor. Bu makineler kod güncellendi. Ancak, McColo - Rustock, Cutwail ve Asprox ile kontrol edilen üç botnun hepsi de online olarak geri geliyor.

Bilgisayar güvenliği sağlayıcısı Sophos'dan Dmitry Samosseiko Çarşamba günü, spam seviyelerinin aniden bu hafta başlarında arttığını yazdı. kısmen Rustock botnet'in yeniden ortaya çıkmasıyla ilgili.

McColo'nun bağlantısı TeliaSonora tarafından yanlışlıkla kısaca restore edildi ve çevrimiçi birkaç saat içinde spam gönderenlerin yeni talimatlar almak için Rustock'a bulaşan bilgisayarlara bulaşmalarını sağladı.

Antispam vendor MessagLabs Kısa süre önce Symantec tarafından satın alınan Srizbi ile ilgili spamda artış yaşanmadığını belirten Lider, Woodland'ın ofislerinde çalışan kıdemli analist olduğunu belirtti.

Wood, MessageLabs'in 8 milyonluk kutudaki spam'ları analiz ettiğini söyledi. Kullanıcılar ve Srizbi'nin hızını yükseltmek ya da insanları nasıl hedef aldıkları değişmiş olabilir.

Fakat MessageLabs, bu botu gösteren Rustock, Cutwail ve Asprox'tan gelen spam'larda bir artış olduğunu fark etti. Etiler Srizbi'nin gevşekliğini alıyorlar.

"Kuryeniz düşerse ya da greve giderse, herhangi bir iş gibi, alternatif bir sağlayıcı bulursunuz." dedi.

Yine de, spam seviyeleri yüzde 40 civarında McColo gitmeden önce, Wood dedi.