Spamerovi ponovno nadziru nad Srizbi Botnet

Sigurnosni dobavljači kažu kako se spameri ponovno povezuju s hakiranim računalima koji se koriste za slanje neželjenih poruka, što se očituje porastom broja neželjenih poruka koje se kruže na Internetu posljednjih nekoliko dana. Razina neželjenih poruka iznenada se smanjila prije dva tjedna nakon zatvaranja McCola, štićenika ISP-a (Internet Service Provider) sa sjedištem u San Joseu, Kalifornija, čija je povezanost korištena za kontrolu mreža od stotina tisuća računala za slanje neželjenih poruka, poznatih kao botneti.

Računala koji su dio Srizbi botneta - koji su po nekim procjenama poslali gotovo polovicu svjetskog spam-a - očito postaju aktivni, tvrde istraživači iz FireEye.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver iz vašeg Windows PC]

"Srizbi se vratio iz mrtvih i počeo ažurirati sve svoje robote sa svježim, novim binarnim", izjavio je u utorak blog Atif Mushtaq i Alex Lanstein of FireEye. "Ažuriranje širom svijeta započelo je prije samo nekoliko sati."

Srizbiovim računalima kontrolirali su spameri putem McColove mreže. Kada je McColo bio isključen, ta su računala pokušala nazvati i dobiti nove upute za slanje neželjenih poruka. Ali operatori botneta pametni su i stvorili način da se ti strojevi vraćaju ako budu nasukani.

FireEye istraživači su u osnovi obavili autopsiju na Srizbijevom kodu. Otkrili su da hakeri stavljaju u algoritam koji dinamički generira naziv domene s kojeg bi ugrožena računala mogla dohvatiti nove upute.

Hakeri bi tada mogli registrirati taj naziv domene i staviti upute tamo da bi prijetio ugroženom računalu da ode na drugu naredbeni i kontrolni poslužitelj - a ne McColo - za nove upute.

Budući da je FireEye shvatio kako je algoritam funkcionirao, tvrtka je registrirala emitirane nazive domena, kao što je "auaopagr.com", koji je generirao algoritam. Kad su ti strojevi prijavljeni za dužnost, nije bilo nikakvih uputa. Ali FireEye nije mogao zadržati spamere zauvijek kupnjom imena domena.

Sada kompromitirana računala povezuju se s imenima domena registriranih od strane neželjenih pošiljatelja i dobivanjem ažuriranog koda, uključujući predloške za nove kampanje neželjene pošte. Novi poslužitelji za nadzor i upravljanje nalaze se u Estoniji, a domene se kupuju od matičara u Rusiji, rekao je FireEye.

Srizbi su u jednom trenutku iznosili više od 450.000 računala, i ostaje da se vidi koliko ti strojevi su ažurirani kod. No, tri druge botnete koje su bile kontrolirane preko McColo-Rustock, Cutwail i Asprox - sve se također vraćaju na mrežu. Dmitry Samosseiko, prodavač računalne sigurnosti Sophos je u srijedu napisao da su razine spam-a naglo porasle ranije ovog tjedna zbog

McColo je povezanost nakratko obnovljena od strane TeliaSonora, a dragocjeno nekoliko sati na mreži omogućilo je spameri da govore računalima zaraženim Rustockom gdje treba ići na nove upute.

Antispam dobavljač MessagLabs, koji je nedavno kupio Symantec, nije zabilježio porast neželjenih poruka povezanih s Srizbi, izjavio je Paul Wood, viši analitičar koji se nalazi u njihovim uredima u Ujedinjenom Kraljevstvu.

Wood je rekao da MessageLabs analizira spam koji završava u pretincima od svojih 8 milijuna korisnici i može biti da Srizbi ili nije do brzine ili promijenio način na koji cilja ljude.

Ali MessageLabs je primijetio porast spamova koji dolaze iz Rustocka, Cutwaila i Asproxa, što bi upućivalo na one botn

"Kao i bilo kakva poslovna djelatnost ako vaš kurir ide ili se udari, naći ćete alternativni pružatelj usluga", rekao je Wood.

Ipak, razina neželjene pošte iznosi oko 40 posto onoga što oni rade prije nego što je McColo otišao, rekao je Wood