Η εσθονική ISP διακόπτει τους διακομιστές ελέγχου για τον Srizbi Botnet

Η Starline Web Services, που εδρεύει στην πρωτεύουσα της Εσθονίας στο Ταλίν, φιλοξένησε τέσσερα ονόματα τομέων που αναγνωρίστηκαν ως σημεία ελέγχου για το Srizbi, σύμφωνα με ερευνητές της εταιρίας ασφάλειας υπολογιστών FireEye

Εκατοντάδες χιλιάδες υπολογιστές παγκοσμίως μολύνθηκαν με Srizbi, ένα δύσκολο να καταργηθεί rootkit που χρησιμοποιείται για την αποστολή ανεπιθύμητων μηνυμάτων, προγραμματίστηκε να αναζητήσει νέες οδηγίες από διακομιστές σε αυτούς τους τομείς.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

Το Srizbi είναι consi ένα από τα πιο ισχυρά botnets, με τουλάχιστον 450.000 υπολογιστές μολυσμένους. Εκτιμάται ότι το ήμισυ του παγκόσμιου spam προέρχεται από υπολογιστές που έχουν μολυνθεί με Srizbi. Το Spam παραμένει μια κερδοφόρα επιχείρηση για εγκληματίες του κυβερνοχώρου.

Όμως, οι spammers έχασαν τον έλεγχο του Srizbi όταν ο ISP που είχε προηγουμένως φιλοξενήσει τους διακομιστές εντολών και ελέγχου αποκόπηκε από το Internet. Η McColo, των οποίων οι κεντρικοί υπολογιστές βρίσκονται στο San Jose της Καλιφόρνια, κόπηκε από τους προμηθευτές της στα προηγούμενα στάδια νωρίτερα αυτό το μήνα μετά την έκθεση των εμπειρογνωμόνων για την ασφάλεια των υπολογιστών και της Washington Post. Αλλά ο κώδικας του Srizbi περιείχε έναν εφεδρικό μηχανισμό όπου οι spammers θα μπορούσαν να επανασυνδεθούν με τις λανθάνοντες μηχανές αν συμβεί κάτι τέτοιο

Ένας αλγόριθμος μέσα στο Srizbi θα δημιουργούσε περιοδικά νέα ονόματα περιοχών όπου το κακόβουλο λογισμικό θα αναζητούσε νέες οδηγίες εάν οι τομείς αυτοί ήταν ζωντανόι στο Διαδίκτυο. Οπλισμένοι με τον ίδιο αλγόριθμο, οι spammers έπρεπε μόνο να καταχωρήσουν τα κατάλληλα ονόματα τομέων και να τα εντοπίσουν στους διακομιστές τους.

Ωστόσο, οι spammers χρειάστηκαν έναν νέο ISP για να φιλοξενήσουν αυτούς τους διακομιστές τουλάχιστον για λίγο. Βρήκαν ότι η Starline Web Services, ένας πολύ μικρός παροχέας υπηρεσιών διαδικτύου, παρόλα αυτά ο παροχέας τους έκλεισε.

«Ήμουν ικανοποιημένος που οι χώροι αυτοί έκλεισαν», δήλωσε ο Hillar Aarelaid, επικεφαλής της Υπηρεσίας Ασφάλειας Υπολογιστών στην Εσθονία CERT), την Πέμπτη

Οι προσπάθειες επικοινωνίας με την Starline Web Services ήταν ανεπιτυχείς. Αλλά η Aarelaid είπε ότι η CERT έχει έρθει σε επαφή με την εταιρεία και φαίνεται να ανταποκρίνεται στις καταγγελίες για κατάχρηση.

Η Starline Web Services αγοράζει τη συνδεσιμότητά της από την Compic, άλλη εσθονική εταιρεία. Το Compic έχει επισημανθεί από το CERT της Εσθονίας ότι έχει τοποθεσίες Web που φιλοξενούν κακόβουλο λογισμικό, δήλωσε ο Tarmo Randel, ειδικός της ασφάλειας στην πληροφορία του οργανισμού.

Ο Randel δήλωσε ότι η CERT έχει ενημερώσει συνεχώς την Compic για το malware που φιλοξένησε. Η Compic θα λάβει μέτρα για να αφαιρέσει τους ιστότοπους ανάλογα με το πόσο δυνατά φωνάζουμε ", δήλωσε ο Randel. Η Compic συνήθως αντιδρά γρήγορα όταν η CERT στέλνει ένα ηλεκτρονικό μήνυμα για καταγγελίες και αντιγράφει την εσθονική εγκληματική αστυνομία, δήλωσε ο Randel.

Την Πέμπτη, ο προγενέστερος πάροχος της Compic, Linxtelecom, έστειλε ένα ηλεκτρονικό μήνυμα στην εσθονική κοινότητα ISP, που σχεδιάζει να διακόψει τη λειτουργία της Compic, δήλωσε ο Randal.

Η Linxtelecom πωλεί υπηρεσίες διαμετακόμισης IP που συνδέουν τοπικούς ISP και φορείς τηλεπικοινωνιών με μεγαλύτερους φορείς δεδομένων. Το Linxtelecom δήλωσε στο e-mail ότι 99 τοις εκατό των καταγγελιών που δέχεται για κατάχρηση σχετίζονται με τον Compic, δήλωσε ο Randel.

Ένας υπάλληλος του Linxtelecom δήλωσε ότι δεν ήξερε για το ηλεκτρονικό ταχυδρομείο. Η Compic ανταποκρίνεται σε καταγγελίες εντός δύο ημερών περίπου, αλλά στο παρελθόν η Linxtelecom έκοψε συνδεσιμότητα σε ιστότοπους που φιλοξένησε η Compic μετά από παράπονα, δήλωσε ο αξιωματούχος.

Οι ειδικοί της ασφάλειας υπολογιστών λένε ότι υπάρχουν λίγοι ISPs και καταχωρητές ονομάτων τομέα που συνεργάζονται στενά με τους κυβερνοεγκληματίες για την υποστήριξη των λειτουργιών ανεπιθύμητης αλληλογραφίας, ιστοσελίδες που πωλούν ψεύτικο λογισμικό και άλλες απάτες.

Οι επιχειρήσεις είναι δύσκολο να σταματήσουν εξαιτίας του διεθνούς τους χαρακτήρα, της ταχύτητας με την οποία οι κυβερνοεπαγρύπιοι αντιδρούν σε τερματισμό λειτουργίας και στην έλλειψη πόρων ή ενδιαφέροντος για την επιβολή του νόμου.

Η διακοπή της McColo ήρθε μετά τη δημοσίευση της έρευνας που έδειξε τον βαθμό εμπλοκής της εταιρείας στο πλαίσιο του εγκληματικού υπογείως.

Ομοίως, ένας άλλος σημειωμένος κακός ISP - γνωστός ως Atrivo ή Intercage - κόπηκε από τους ανάντη παρόχους τον Σεπτέμβριο ως αποτέλεσμα της αυξανόμενης πίεσης από την κοινότητα ασφάλειας υπολογιστών. οι πρόσφατες περιπτώσεις McColo και Atrivo / Intercage που έχουν απομακρυνθεί από το Διαδίκτυο, θα είναι ευκολότερο να ασκήσουμε στο μέλλον πιέσεις σε άλλους γνωστούς υπολο- γιστές badware να αναλάβουν δράση ή να βγουν εκτός σύνδεσης ", δήλωσε ο Toralv Dirro, στρατηγικός ασφαλείας για τα Avert Labs της McAfee. Πέμπτη,