Kun McColo Takedown, Spam Surges Again

Roskapostitasot laskivat lähes puolet, kun McCoolin Internet-palveluntarjoaja (ISP) otettiin offline-tilassa marraskuussa. Mutta jotkut uudet botnetit ja jopa vanhemmat poistavat enemmän roskapostia.

"Nykyisillä verokannoilla palaamme näihin pre-McColon takedown tasoihin todennäköisesti seuraavien kolmen tai viiden viikon aikana", sanoo Adam Swidler,

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Google sanoi maanantaina, että se on nähnyt 156 prosenttia enemmän roskapostia, koska McColo oli offline-tilassa. McColo isännöi niin sanottuja botnet-komentoja ja -ohjaimia, joiden avulla opettaa tietokoneita roskapostin lähettämiseen. Botnettoihin sisältyi Rustock, Srizbi, Pushdo / Cutwail, Mega-D ja Gheg.

McColonin takedown suurimmaksi osaksi tappoi Srizbi botnetin, jota syytettiin lähettämään suuri osa maailman roskapostista. Mutta muut botnetit - jotka ovat pääasiassa loukkaavia tietokoneita, jotka ovat roskapostin lähettämiä hakkeroituja tietokoneita - nostavat hitaasti.

Mega-D, joka tunnetaan myös nimellä Ozdok, koostuu vähintään 660 000 PC: stä MessageLabsin, e Symantecin nykyinen tietoturva-asema. Keskimäärin Mega-D-tartunnan saaneet tietokoneet lähettävät hämmästyttävän 589,402 viestiä päivässä, eli noin 409 minuutissa. Kaiken kaikkiaan Mega-D lähettää 38 miljardia viestiä päivässä.

MessageLabsin viimeisimpien julkaistujen julkaisujen mukaan 74,6 prosenttia kaikista sähköpostiviesteistä oli roskapostia tässä kuussa, 4,9 prosenttia enemmän kuin joulukuussa. Roskapostin prosenttiosuus voi vaihdella myyjän mukaan, riippuen niiden palveluista käyttävistä tietokoneista, joita käytetään roskapostitilastojen keräämiseen.

"Olemme nähneet tasaista nousua viimeisten kahden kuukauden aikana", sanoo Paul Wood, MessageLabs Intelligence

MessageLabs näki roskapostin pudota noin 58 prosenttiin kaikesta sähköpostista, kun McColo laski, mutta nousi joulukuussa noin 69 prosenttiin, Wood sanoi.

Roskapostin lähettäjät muuttavat myös taktiikoita varmistaakseen viestinsä ei ole estetty, kertoi Spamhausin roskapostin vastaisen organisaation CIO: n Richard Cox.

Kun tietokone on saanut roskapostin lähettämiseen käytettävän koodin, se muodostaa PC: n sähköpostipalvelimen, joka jatkaa roskapostin lähettämistä suoraan Internetiin. Mutta jos tietokone havaitsee roskapostin lähettämisen, se lisätään lohkoluetteloon loppukäyttäjän IP-osoitteen (Internet Protocol) osoitteista, joiden ei pitäisi lähettää luottamuksellisia postilähetyksiä.

Roskapostin lähettäjät käyttävät vaihtoehtoisesti ohjelmia, jotka havaitsevat henkilön Internet-palveluntarjoaja ja sitten reitittää postin kyseisen ISP: n kautta, mikä estää sen lakkauttamisen, kun se tarkistetaan luetteloa vastaan, Cox sanoi. Roskaposti voitaisiin kuitenkin estää muiden ilmaisumenetelmien ja analyysien avulla myöhemmin.

Internet-palveluntarjoajat eivät ole "oikeutetusti" päättäneet lopettaa tällaisen väärinkäytön vielä, Cox sanoi. Lisäksi monet Internet-palveluntarjoajilla eivät ole jatkuvasti toimivaa henkilökuntaa, jotta he voivat toimia nopeasti, kun väärinkäytökset raportoidaan.

Spamhaus seuraa parhaillaan, mitkä palveluntarjoajat palvelevat komento- ja valvontapalvelimia joihinkin nykyisiin räikeisiin botnet-verkkoihin. Cox ilmoitti, ettei hän voinut julkaista lisää tietoja.

McColon sulku tuli sen jälkeen, kun raportti ilmestyi Washington Postissa yhdessä tietoturva-analyytikoiden paineen kanssa. Vaikka McColo oli yhteydessä lapsipornografiaa käsitteleviin verkkosivustoihin, se oli tutkijoiden yhteisö eikä lainvalvonta, joka aiheutti McColon ylävirtaoperaattoreiden irrottautumisen Internetistä. Vaikka McColon palvelimet olivat Yhdysvalloissa, ihmiset, joiden uskottiin suorittavan operaation, olivat todennäköisesti ulkomailla.

(San Francisco -järjestön Robert McMillan osallistui tähän raporttiin.)