Shadowserver siirtyy Mega-D Botnet Herder

Tuhansia tuhansia tietokoneita, jotka ovat saaneet haittaohjelmia, jotka ovat tunnettuja tuhansista roskapostiviesteistä tunnin välein, on käynnissä.

Tartunnan saaneet tietokoneet ovat osa botnetia nimeltä Ozdok tai Mega-D, joka kertoi lähettämästä noin 4 prosenttia maailman roskapostiviesteistä.

Viime viikolla Security Vendor FireEyela käynnisti aseman purkamaan botnetin. Tartunnan saaneet tietokoneet saavat ohjeita ja tietoja uusista roskapostikampanjoista komentojen ja valvonnan avulla.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Tämä merkitsi sitä, että ihmiset, jotka hallitsivat hakkereita käyttäviä tietokoneita, tunnetaan botnet-isännäksi, voisivat en ota yhteyttä useimpiin robotteihinsa enää. Spam Mega-D: stä lähes pysähtyi kokonaan. FireEye katkaisi myös toisen irtisanomismekanismin Mega-D: llä ohjelmoidut herders.

Jos tartunnan saaneet koneet eivät pysty käsittelemään komento-ja -ohjauspalvelinta, ne ohjelmoidaan algoritmilla, joka tuottaa satunnaisen verkkotunnuksen ja yritä ottaa yhteyttä verkkotunnukseen päivittäin.

Jos nämä infektoituneet koneet saavat uusia ohjeita, se todennäköisesti tarkoittaa, että FireEye menettää hallinnan ja joutuu aloittamaan uudestaan ​​yrittääkseen sulkea Mega-D: n alas.

Mutta FireEye on nyt luovuttanut näiden robotien ohjauksen Shadowserverille, joka on vapaaehtoinen organisaatio, joka seuraa botnet-verkkoja.

Shadowserver on ottanut hallintaverkoston hallintaan "Shadowserverin perustaja", "Shadowserver's co-founder."

Shadowserver on nyt prosessi tunnistaa yksittäisiä tietokoneita, jotka on tarttunut Mega-D: hen, ja sitten ottamalla yhteyttä kyseisten tartunnan saaneiden isäntien palveluntarjoajiin. Tavoitteena on, että nämä palveluntarjoajat ottavat yhteyttä näiden tietokoneiden omistajiin ja pyytävät heitä suorittamaan virustentorjuntaohjelman, jotta tartunnan poistaminen ja Mega-D: n hävittäminen.

"Internetpalveluntarjoajille on varmasti haaste työskennellä tilaajan tason, ja ymmärrämme sen ", DiMino sanoi. "Parasta, mitä teemme tässä vaiheessa, on saada mahdollisimman täsmällinen tunniste, koska voimme palveluntarjoajalle auttaa heitä. Ideaalisesti tavoitteena on puhdistaa tartunnan saaneesta koneesta."

Shadowserver lähettää säännöllisesti vapaan luettelon tartunnan saaneista koneista palveluntarjoajia, mutta tunnistuskoneiden käyttö ei ole helppoa. Yrityshallinnoilla on usein vain yksi IP-osoitteen (Internet-protokollan) osoite satoja käyttäjiä varten, ja Internet-palveluntarjoajat määrittävät eri IP-osoitteet tietokoneille, kun käyttäjät kytkeytyvät tietokoneisiinsa ja poistavat tietokoneensa, DiMino sanoi.

Tietokoneiden vahvistaminen voi olla hidas prosessi, koska arvioidaan, että jopa 500 000 tietokoneella ympäri maailmaa on Mega-D-tartunnan saaneita, eikä se ole mitenkään suurin botnet. Esimerkiksi Confickerin arvioidaan saaneen tartunnan jopa 7 miljoonaan koneeseen.

Brasiliassa on 11,5 prosenttia Mega-D-infektioista, jota seuraa Intia ja Vietnam, FireEyen blogin mukaan. DiMino sanoi, että Shadowserverilla on vahvat siteet maailmanlaajuisiin tietokonevalmiusryhmiin, mukaan lukien Brasilian, joka voi auttaa työskentelemään verkko-operaattoreiden kanssa.

Vaikka Mega-D ei ole täysin kuollut, "joskus häiriö on realistisempaa, "DiMino sanoi.

" Näemme, mikä vaikutus on ", hän sanoi. "Tuomaristo on edelleen poissa."