FireEye brzo se kretala za ukidanje Mega-D botneta

Tvrtka za računalnu sigurnost poznata po borbenim botnetima preselila se prošli tjedan kako bi pokušao ugasiti uporni spam player.

FireEye, tvrtka u Kaliforniji koja proizvodi sigurnosne uređaje, prati botnet pod nazivom Mega -D ili Ozdok. Mega-D, koja je mreža hakiranih računala, odgovorna je za slanje više od 4 posto svjetske spama, prema M86 Security. Mnogi od računala koja čine Mega-D su zaražena kućna računala.

Mega-D je jedna od nekoliko botneta koja je implementirala napredne tehničke mjere kako bi osigurala da vlasnici ne izgube kontrolu nad hakiranim računalima. Hackeri koriste poslužitelje za naredbu i kontrolu za izdavanje instrukcija zombičkim računalima, npr. Kada pokrenuti kampanju s neželjenom poštom.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

U slučaju Mega -D, hakirani računala će potražiti određene nazive domena kako bi preuzeli upute, napisao je Atiq Mushtaq od FireEye na blogu tvrtke. Ako te domene nisu aktivne - često ih zatvaraju ISP-ovi ako su povezani s zlostavljanjem - Mega-D strojevi će tražiti poslužitelje prilagođenih DNS (Domain Name System) za pronalaženje živih domena.

Ako je to također ne uspije, Mega-D je programiran da generira nasumično ime domene na temelju trenutnog datuma i vremena, napisao je Mushtaq. Kada hakeri registriraju naziv domene, zaraženi strojevi mogu posjetiti tamo kako bi dobili nove upute.

Mega-D mehanizmi kako bi se osiguralo da ostane na životu otežali su sigurnosnim tvrtkama. "Ako nitko nije počinio dovoljno da unaprijed registrira te domene, bot herders uvijek može napustiti i registrirati te domene i vratiti kontrolu botnet", napisao je Mushtaq.

Prošlog četvrtka navečer, FireEye je započeo napad, kontaktirajući ISP-ove imali strojeve koji su djelovali kao zapovjedni i kontrolni poslužitelji za Mega-D. Svi osim četiri davatelja usluga isključuju veze za IP adrese koje koristi Mega-D, napisao je Mushtaq. FireEye je također kontaktirala matičare koji kontroliraju imena domena koji se koriste za Mega-D.

Kao konačnu mjeru, FireEye je registrirala automatski generirane nazive domena koji bi zaraženi Mega-D računalima mogli kontaktirati ako strojevi ne uspiju doći do drugih naredbi- kontrolni čvorovi.

Mushtaq je u petak napisao da je nekih 264.784 jedinstvenih adresa IP (Internet Protocol) kontaktiralo FireEyeov poslužitelj "sinkhole" ili postavljenog poslužitelja kako bi se identificirale zaražene računala.

"Podaci prikupljeni s poslužitelja ponora logovi će se koristiti za identifikaciju žrtava strojeva ", napisao je Mushtaq.

Nadamo se da će ISP-ovi tada kontaktirati te pretplatnike i obavijestiti ih da trebaju pokrenuti protuvirusni pregled.

FireEye napori, uz suradnju ISP-ova i registrari, čini se da su barem privremeno uspješno ublažili Mega-D.

U ponedjeljak, statistika tvrtke M86 Security pokazala je da je Mega-D spama gotovo zaustavljen. Na jednoj prethodnoj točki, M86 je vidio da jedno računalo sa zaraženim Mega-D šalje čak 15.000 poruka neželjene po satu. "To jasno pokazuje da je teško, ali ne i nemoguće skinuti neke od najljepših botneta svijeta, "Napisao je Mushtaq." Ali otkaz možda neće dugo trajati. FireEye je unaprijedio Mega-D registriranjem domena koje bi roboti tražili, ali taj proces može biti neprestan i skup. Ako FireEye zaustavi registraciju domena i siroče roboti nazovu kući, hakeri bi mogli prenijeti novi kod da bi ih otežali zaustavljanje.

"Nismo sigurni koliko dugo možemo pratiti ove buduće domene", napisao je Mushtaq.