Roskapostittajat hallitsevat yli Srizbi Botnet

Roskapostin lähettämiseen tarkoitetut zombie-tietokoneet ovat palata henkiin.

Turvallisuustoimittajat sanovat, että roskapostittajat ovat yhteydessä toisiinsa hakkeroitujen tietokoneiden kanssa, joita käytetään roskapostin lähettämiseen, mikä johtuu siitä, että Internetissä viime päivinä levinneiden roskapostiviestien määrä kasvaa. Roskapostitasot laskivat äkkiä kaksi viikkoa sitten San Joseissa Kaliforniassa toimineen McColon, Internetin palveluntarjoajan, sulkemisen jälkeen, jonka yhteydenpitoa hallittiin satoja tuhansia tietokoneita roskapostin lähettämiseksi.

Tietokoneet, jotka ovat osa Srizbi botnetiä - jotka jotkut arviot lähettävät lähes puolet maailman roskapostista - näyttävät olevan aktiivisia uudelleen FireEye-tutkijoiden mukaan.

[Lue lisää: Windows-tietokone]

"Srizbi on palannut kuolleista ja on alkanut päivittää kaikki robotit tuoreella uudella binaarilla", Atif Mushtaqin ja Alex Lansteinin FireEye: n blogikirjoituksen mukaan. "Maailmanlaajuinen päivitys alkoi vasta muutama tunti sitten."

Srizbin tietokoneita ohjasi roskapostittajat McColon verkon kautta. Kun McColo suljettiin, ne yrittivät soittaa ja saada uusia ohjeita roskapostin lähettämiseen. Mutta botnet-operaattorit ovat älykkäämpiä ja luoneet keinon saada nämä koneet takaisin, jos ne ovat hajaantuneet.

FireEye-tutkijat tekivät pääasiassa ruumiinavauksen Srizbin koodilla. He löysivät, että hakkerit laittivat algoritmia, joka luo dynaamisesti verkkotunnuksen, josta vaarallinen tietokone voisi hakea uusia ohjeita.

Hakkerit voisivat sitten rekisteröidä kyseisen verkkotunnuksen ja laittaa ohjeita siihen, että vaarallinen tietokone siirtyisi toiseen komento-ja-ohjauspalvelin - ei McColon - uusille ohjeille.

Koska FireEye selvitti, miten algoritmi toimi, yritys rekisteröi halventavat verkkotunnukset, kuten "auaopagr.com", joka syntyi algoritmista. Kun nämä koneet ilmoitti tehtävään, ei ollut ohjeita. Mutta FireEye ei voinut estää roskapostittajia ikuisesti ostamalla verkkotunnuksia.

Nyt vaarantuneet tietokoneet ovat yhteydessä roskapostittajien rekisteröimiin verkkotunnuksiin ja saavat päivitetyn koodin, mukaan lukien uudet roskapostikampanjat. Uudet komento-ja-ohjauspalvelimet ovat Virossa ja verkkotunnuksia ostetaan Venäjän rekisterinpitäjältä, FireEye totesi.

Srizbi kerralla oli yli 450 000 tietokonetta, ja on vielä nähtävissä, kuinka monta nämä koneet ovat päivittäneet koodin. Mutta kolme muuta verkkopistettä, jotka ohjasivat McColo-Rustockin, Cutwailin ja Asproxin kautta, näyttävät myös tulevan takaisin verkossa.

Dmitry Samosseiko tietokoneavustushyödynnän myyjältä Sophos kirjoitti keskiviikkona, että roskapostit tasoittivat yllättäen tämän viikon osittain Rustockin botnetin uudelleenkäynnistykselle.

TeliaSonoran virheellisesti palautti McColon yhteydet ja muutaman tunnin verkossa sallittiin roskapostittajien kertoa Rustockille tartunnan saaneille tietokoneille, mistä käydä uusia ohjeita.

Antispam-myyjä MessagLabs, jonka Symantec hiljattain hankki, ei ole huomannut Srizbiin liittyvän roskapostin nousua, sanoi Yhdistyneen kuningaskunnan toimistoissa toimiva vanhempi analyytikko Paul Wood.

Wood sanoi, että MessageLabs analysoi roskapostia, joka päätyy sen 8 miljoonan käyttäjille ja saattaa olla, että Srizbi ei joko ole nopeutunut tai muuttanut sitä, miten se kohdistaa ihmisiin.

Mutta MessageLabs on huomannut roskapostia, joka on peräisin Rustockista, Cutwailista ja Asproxista, mikä merkitsisi niitä botn

"Kuten kaikenlainen liike, jos kuriiri menee alas tai tulee lakkoon, löydät vaihtoehtoisen tarjoajan", Wood sanoi.

Still, roskapostitasot ovat noin 40 prosenttia siitä, mitä heillä on. olivat ennen kuin McColo meni alas, Wood sanoi.