Estonski ISP prekida upravljačke poslužitelje za Srizbi Botnet

Estonski ISP koji je privremeno ugostio poslužitelje za nadzor i kontrolu za Srizbi botnet, odgovoran za veliki dio svjetske spama, odrezao je te poslužitelje, prema analitičarima računalnih sigurnosti

Starline Web Services, sa sjedištem u Estonskoj prijestolnici Tallinn, domaćin je četiri imena domena identificiranih kao kontrolne točke za Srizbi, prema istraživačima tvrtke FireEye za računalnu sigurnost.

Stotine tisuća računala diljem svijeta zaražene Srizbi, teško ukloniti rootkit koji se koristi za slanje neželjenih poruka, programirani su da traže nove upute od poslužitelja na tim domenama.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Srizbi je consi izvukla jednu od moćnijih botneta, s najmanje 450.000 računala zaraženih. Procjenjuje se da je polovica svjetskih spamova potekla iz računala zaraženih Srizbi. Spam ostaje profitabilan posao za cyber-kriminalce.

No spameri su izgubili nadzor nad Srizbi kada je ISP koji je prethodno ugostio svoje poslužitelje za naredbu i kontrolu bio isključen s Interneta. McColo, čiji su poslužitelji sa sjedištem u San Joseu u Kaliforniji, odslužili su ga ranije ovog mjeseca nakon što su bili izloženi stručnjacima za računalnu sigurnost i Washington Postom.

To je ostavilo neželjene ljude da ne mogu kontrolirati Srizbi-zaražene računala. Ali Srizbijev kod sadržavao je sigurnosni mehanizam u kojem bi spameri mogli ponovno uspostaviti vezu sa zaraženim strojevima ako se takav scenarij dogodio.

Algoritam unutar Srizbi povremeno će generirati nove nazive domena gdje bi zlonamjerni softver tražio nove upute ako su te domene bile žive na Internetu, Naoružani tim istim algoritmom, spameri su samo trebali registrirati odgovarajuće nazive domena i uputiti ih na svoje poslužitelje.

Spameri su, međutim, imali potreban novi ISP koji će ugostiti te poslužitelje barem neko vrijeme. Pronašli su Starline Web Services, vrlo mali ISP, ali i taj pružatelj usluga je od njih i odrezao. "Bio sam zadovoljan što su ta mjesta zatvorena", rekao je Hillar Aarelaid, CERT), u četvrtak.

Pokušaji kontaktiranja Starline Web Services bili su neuspješni. No, Aarelaid je rekao da je CERT u kontaktu s tvrtkom, i čini se da odgovara na pritužbe vezane uz zlostavljanje.

Starline Web Services kupuje povezivanje od tvrtke Compic, još jedne estonske tvrtke. CERT je označio Compic kao da ima web-mjesta koja pokrivaju zlonamjerni softver, rekao je Tarmo Randel, stručnjak za informacijsku sigurnost u organizaciji.

Randel je rekao da je CERT "stalno" obavijestio Compic o zlonamjernom softveru koji je hostiran. Compic će poduzeti korake za uklanjanje web stranica ovisno o tome kako glasno vrištamo ", rekao je Randel. Compic obično reagira brzo kada CERT šalje pritužbu e-mailom - i kopira estonsku kriminalističku policiju, rekla je Randel.

U četvrtak je Compicov izvorni pružatelj usluga Linxtelecom poslao e-poštu estonskoj ISP zajednici koja je rekla da su planira odstraniti Compicu, rekao je Randal.

Linxtelecom prodaje usluge IP transporta koji povezuju lokalne ISP-ove i telekomunikacijske operatore s većim podatkovnim nosačima. Linxtelecom je u e-poruci rekao da 99 posto pritužbi koje prima zbog zlostavljanja povezano je s Compicom, rekao je Randel.

Linxtelecom je rekao da nije znao o e-pošti. Compic reagira na pritužbe u roku od dva dana ili tako, ali Linxtelecom je u prošlosti odrezao povezivost s web stranicama koje je domaćin Compic nakon pritužbi, rekao je službenik.

Stručnjaci za računalnu sigurnost kažu da postoji pregršt ISP-ova i registrara domene koji blisko surađuju s internetskim kriminalcima kako bi podržali operacije neželjene pošte, web stranice koje prodaju lažni softver i ostale prijevareOperacije je teško zaustaviti zbog svoje međunarodne prirode, brzine kojom cybercriminals reagiraju na zaustavljanje i nedostatak resursa za provođenje zakona ili interesa.

McColo je isključio nakon objavljivanja istraživanja koja je pokazala u kojoj je mjeri tvrtka bila uključena u zločinačkom podzemlju

Slično tome, još jedan zapaženi loš ISP - poznat kao Atrivo ili Intercage - u rujnu su odsustvili njezini uzvodni pružatelji usluga kao rezultat sve većeg pritiska zajednice računalne sigurnosti. nedavni slučajevi McCola i Atrivo / Intercage skinuti s Interneta, ubuduće će biti lakše staviti više pritisaka na druge poznate hostere badwarea kako bi poduzeli akciju ili otišli izvan mreže ", rekao je Toralv Dirro, sigurnosni strateg McAfeeovog Avert Labsa Thurday.