Shadowserver να αναλάβει ως Mega-D Botnet Herder

Μία προσπάθεια βρίσκεται σε εξέλιξη για να καθαρίσετε δεκάδες χιλιάδες υπολογιστές που έχουν μολυνθεί από κακόβουλο λογισμικό που είναι γνωστό για την εξαφάνιση χιλιάδων μηνυμάτων ανεπιθύμητης αλληλογραφίας ανά ώρα.

Οι μολυσμένοι υπολογιστές είναι μέρος ενός botnet που ονομάζεται Ozdok Mega-D, η οποία σε μια στιγμή στέλνει περίπου το 4% των spam μηνυμάτων του κόσμου.

Την περασμένη εβδομάδα, ο προμηθευτής ασφαλείας FireEye έβαλε μια μονάδα δίσκου για να αποσυναρμολογήσει το botnet. Οι μολυσμένοι υπολογιστές λαμβάνουν οδηγίες και πληροφορίες για νέες καμπάνιες ανεπιθύμητης αλληλογραφίας μέσω διακομιστών εντολών και ελέγχου. Το FireEye ήρθε σε επαφή με παρόχους δικτύου που φιλοξένησαν αυτούς τους διακομιστές και οι περισσότεροι έκλεισαν.

Αυτό σημαίνει ότι οι άνθρωποι που ελέγχουν τους hacked PCs, γνωστούς ως βομβαρδιστές, δεν μπορούσαν 't επικοινωνήστε με τα περισσότερα από τα bots τους πια. Το spam από το Mega-D σταμάτησε σχεδόν ολοκληρωτικά. Το FireEye διακόπτει επίσης έναν δεύτερο μηχανισμό πλεονασμού που οι προγραμματισμένοι κτηνοτρόφοι προγραμματίζονται σε Mega-D.

Αν οι μολυσμένες μηχανές δεν μπορούν να επικοινωνήσουν με ένα διακομιστή εντολών και ελέγχων, προγραμματίζονται με έναν αλγόριθμο που θα δημιουργήσει ένα τυχαίο όνομα τομέα και προσπαθήστε να επικοινωνήσετε καθημερινά με αυτόν τον τομέα.

< Το FireEye έχει καταγράψει αυτούς τους τομείς για να αποτρέψει τους παπάδες του botnet να αποκτήσουν τον έλεγχο.

Όμως η FireEye έχει τώρα παραδώσει τον έλεγχο αυτών των bots στο Shadowserver, μια οργάνωση που εκτελεί εθελοντές που παρακολουθεί botnets. μια "βύθιση", ή έναν υπολογιστή που τρέχει προσαρμοσμένο λογισμικό που λειτουργεί ως διακομιστής εντολών και ελέγχου που οι bots Mega-D θα καλέσουν, δήλωσε ο Andre M. DiMino, συνιδρυτής του Shadowserver.

Το Shadowserver είναι τώρα τη διαδικασία ταυτοποίησης μεμονωμένων υπολογιστών που έχουν μολυνθεί με Mega-D και κατόπιν επαφής με τους παρόχους υπηρεσιών για τους μολυσμένους οικοδεσπότες. Ο στόχος είναι οι πάροχοι υπηρεσιών να έρχονται σε επαφή με τους ιδιοκτήτες αυτών των υπολογιστών και να τους ζητήσουν να εκτελέσουν μια ανίχνευση ιών, προκειμένου να αφαιρέσουν τη λοίμωξη και να εξαλείψουν το Mega-D.

"Πρόκειται για μια πρόκληση για τους ISPs επίπεδο συνδρομητών και καταλαβαίνουμε ότι ", δήλωσε ο DiMino. "Το καλύτερο που κάνουμε σε αυτό το σημείο είναι να κάνουμε όσο το δυνατόν πιο λεπτομερή ταυτοποίηση, όπως μπορούμε για τον παροχέα υπηρεσιών διαδικτύου για να τους βοηθήσουμε." Ιδανικά ο στόχος είναι να καθαρίσετε το μολυσμένο μηχάνημα. "

Το Shadowserver στέλνει τακτικά μια δωρεάν λίστα μολυσμένων μηχανών παρόχους υπηρεσιών, αλλά η αναγνώριση μηχανών δεν είναι εύκολη. Τα εταιρικά δίκτυα συχνά δείχνουν μόνο μία εξωτερική διεύθυνση IP (πρωτόκολλο Internet) για εκατοντάδες χρήστες και οι ISP θα εκχωρήσουν διαφορετικές διευθύνσεις IP σε υπολογιστές, καθώς οι χρήστες ενεργοποιούν και απενεργοποιούν τους υπολογιστές τους, δήλωσε ο DiMino.

Η εγκατάσταση αυτών των υπολογιστών μπορεί να είναι μια αργή διαδικασία, καθώς εκτιμάται ότι έως και 500.000 υπολογιστές σε όλο τον κόσμο μολύνονται με Mega-D, και δεν είναι σε καμία περίπτωση το μεγαλύτερο botnet. Η Conficker, για παράδειγμα, εκτιμάται ότι έχει μολύνει έως και 7 εκατομμύρια μηχανές.

Η Βραζιλία έχει το 11,5% των συνολικών μολύνσεων Mega-D, ακολουθούμενη από την Ινδία και το Βιετνάμ, σύμφωνα με το blog της FireEye. Το DiMino δήλωσε ότι ο Shadowserver έχει ισχυρούς δεσμούς με τις ομάδες αντιμετώπισης καταστάσεων έκτακτης ανάγκης σε όλο τον κόσμο, συμπεριλαμβανομένων των Βραζιλιάνων, οι οποίες μπορούν να βοηθήσουν να συνεργαστούν με παρόχους δικτύων.

Ακόμη και αν η Mega-D δεν μπορεί να σκοτωθεί τελείως, Δήλωσε ο DiMino

«Θα δούμε τι είναι το αποτέλεσμα», είπε. "Η κριτική επιτροπή είναι ακόμα έξω."