FireEye liikkuu nopeasti Quash Mega-D Botnet

Tietoturva-yhtiö, joka tunnetaan botnet-verkkojen taistelusta, muutti viime viikolla yrittäessään sulkea pysyvän roskapostin pelaajan.

Turvallisuuslaitteita valmistava Kalifornian yritys FireEye oli seurannut botaa nimeltä Mega -D tai Ozdok. Mega-D, joka on hakkerittujen tietokoneiden verkko, on vastuussa yli 4 prosenttia maailman roskapostista, M86 Securityn mukaan. Monet Mega-D: n muodostavat tietokoneet ovat tartunnan saaneita kotitietokoneita.

Mega-D on yksi monista botnet-verkkoista, jotka ovat toteuttaneet kehittyneitä teknisiä toimenpiteitä sen varmistamiseksi, että sen omistajat eivät menetä hallussaan hakkereita käyttäviä tietokoneita. Hakkerit käyttävät komentoja ja ohjaimia tarjoavat ohjeet zombie-tietokoneille, kuten roskapostikampanjan suorittamiseen.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Mega -D, hakkeroidut tietokoneet etsivät tiettyjä verkkotunnuksia ladataksesi ohjeita, kirjoitti FireEye Atiq Mushtaq yhtiön blogissa. Jos nämä verkkotunnukset eivät ole aktiivisia - Internet-palveluntarjoajat sulkevat ne usein, jos ne ovat yhteydessä väärinkäytöksiin. - Mega-D-koneet etsivät muokatun DNS-palvelimen (Domain Name System) -palvelimia etsimään live-verkkotunnuksia.

Jos tämä myös epäonnistuu, Mega-D on ohjelmoitu tuottamaan satunnaisen verkkotunnuksen nykyisestä päivämäärästä ja ajasta, Mushtaq kirjoitti. Kun hakkerit rekisteröivät verkkotunnuksen, tartunnan saaneet koneet voivat käydä siellä saadakseen uusia ohjeita.

Mega-D: n mekanismit sen varmistamiseksi, että se pysyy elossa, ovat vaikeuttaneet turvallisuusyrityksiä. "Ellei joku ole sitoutunut tarpeeksi ennakkoilmoittaakseen kyseiset verkkotunnukset, bot-pappit voivat aina esittää ja rekisteröidä nämä verkkotunnukset ja ottaa botnet-ohjauksen takaisin", Mushtaq kirjoitti.

Viime torstai-iltana FireEye aloitti hyökkäyksensä ottamalla yhteyttä Internet-palveluntarjoajiin, jotka oli koneita, jotka toimivat komento-ja-ohjauspalvelimia Mega-D. Kaikki neljä palveluntarjoajaa sulkivat yhteydet IP-osoitteisiin, joita Mega-D käytti, Mushtaq kirjoitti. FireEye otti yhteyttä myös rekisterinpitäjiin, jotka valvovat Mega-D: n käyttämiä verkkotunnuksia.

Viimeisenä toimenpiteenä FireEye rekisteröi automaattisesti generoidut verkkotunnukset, jotka tarttivat Mega-D-tietokoneita, jos ne eivät päässeet muihin komento-

Mushtaq kirjoitti perjantaina, että noin 264 784 yksilöllistä IP-protokollaa (Internet Protocol) oli ottanut yhteyttä FireEyen "sinkhole" -palvelimeen tai palvelimeen, joka on muodostettu tartunnan saaneiden tietokoneiden tunnistamiseksi.

" logs käytetään tunnistamaan uhrin koneita, "Mushtaq kirjoitti.

Internet-palveluntarjoajat toivovat, että ne sitten ottavat yhteyttä näihin tilaajiin ja ilmoittavat heille, että he tarvitsevat virustentorjuntaohjelman.

FireEyen ponnistelut yhteistyössä Internet-palveluntarjoajien kanssa ja rekisterinpitäjät näyttävät menestyksekkäästi täyttäneet Mega-D: n ainakin tilapäisesti.

M86 Securityin tilastot osoittivat maanantaina, että Mega-D-roskapostit olivat lähes pysähtyneet. Eräässä edellisessä kohdassa M86 oli nähnyt yhden Mega-D-tartunnan saaneen tietokoneen lähettämään jopa 15 000 roskapostiviestiä tunnissa.

"Se osoittaa selvästi, että on vaikeaa mutta ei mahdotonta ottaa joitain maailman huiputekstiä, "Mushtaq kirjoitti.

Mutta ehto voi kestää kauan. FireEye oli ennalta ehkäisemässä Mega-D: tä rekisteröimällä domainit, joita botit etsisivät, mutta prosessi voi olla loputon ja kallis. Jos FireEye lakkaa rekisteröimästä verkkotunnuksia ja orpolatut botsit soittavat kotiin, hakkerit voivat ladata uuden koodin heille, mikä vaikeuttaa niiden pysäyttämistä.

"Olemme epävarma siitä, kuinka kauan voimme jatkaa näitä tulevia verkkotunnuksia", Mushtaq kirjoitti.