Estisk ISP kutter av kontrollservere til Srizbi Botnet

En estisk ISP som midlertidig var vert for kommando- og kontrollserverne for Srizbi botnet, ansvarlig for en stor del av verdens spam, har kuttet av de serverne, ifølge datasikkerhetsanalytikere

Starline Web Services, basert i Estlands hovedstad Tallinn, hadde vært vert for fire domenenavn identifisert som kontrollpunkter for Srizbi, ifølge forskere fra datasikkerhetsfirma FireEye.

Hundrevis av PCer rundt om i verden smittet med Srizbi, en vanskelig å fjerne rootkit som brukes til å sende spam, ble programmert for å søke nye instruksjoner fra servere i disse domenene.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Srizbi er Consi utgjorde en av de kraftigste botnets, med minst 450 000 PC-smittede. Det anslås at halvparten av verdens spam er stammer fra datamaskiner som er smittet med Srizbi. Spam forblir en lønnsom virksomhet for cyberkriminelle.

Men spammere mistet kontrollen over Srizbi da Internett-leverandøren som tidligere var vert for sine kommando- og kontrollservere, ble kuttet av Internett. McColo, hvis servere er basert i San Jose, California, ble kuttet av sine oppstrømsleverandører tidligere denne måneden etter å ha blitt eksponert av datasikkerhetseksperter og Washington Post.

Det forlot spammere som ikke klarer å kontrollere Srizbi-infiserte datamaskiner. Men Srizbi-koden inneholdt en tilbakekallingsmekanisme der spammere kunne koble seg til de strengede maskinene dersom et slikt scenario oppstod.

En algoritme i Srizbi ville med jevne mellomrom generere nye domenenavn der malware ville lete etter nye instruksjoner dersom disse domenene var levende på Internett. Væpnet med den samme algoritmen, hadde spammerne bare å registrere de riktige domenenavnene og peke dem til sine servere.

Spammerne behøvde imidlertid en ny Internett-leverandør som var vert for disse serverne, i hvert fall for en stund. De fant Starline Web Services, en svært liten Internett-leverandør, men den leverandøren har siden også kuttet dem av.

"Jeg var fornøyd med at disse nettstedene ble slått ned," sa Hillar Aarelaid, sjefsikkerhetsansvarlig for Estlands Computer Emergency Response Team CERT), på torsdag.

Forsøk på å kontakte Starline Web Services mislyktes. Men Aarelaid sa CERT har vært i kontakt med selskapet, og det ser ut til å være lydhør over klager om overgrep.

Starline Web Services kjøper sin tilkobling fra Compic, et annet estisk selskap. Compic har blitt flagget av Estlands CERT som har nettsteder som leverer ondsinnet programvare, sier Tarmo Randel, en informasjonssikkerhetsekspert ved organisasjonen.

Randel sa CERT har "constantly" notified Compic om skadelig programvare de har vært vert for. Compic vil iverksette tiltak for å fjerne nettstedene avhengig av "hvor høyt vi skriker," sa Randel. Compic reagerer vanligvis fort når CERT sender en klage e-post - og kopierer det estiske kriminalpolitiet, sa Randel.

På torsdag sendte Compic's oppstrømsleverandør Linxtelecom en e-post til det estiske ISP-fellesskapet som sa at de er planlegger å kutte av Compic, sier Randal.

Linxtelecom selger IP-transittjenester som forbinder lokale Internett-leverandører og telekommunikasjonsoperatører med større databærere. Linxtelecom sa i e-post at 99 prosent av klagerne som det mottar over misbruk, er relatert til Compic, sa Randel.

En offiser fra Linxtelecom sa at han ikke visste om e-posten. Compic reagerer på klager innen to dager eller så, men Linxtelecom har tidligere kuttet av tilkobling til websider som hostes av Compic etter klager, sa tjenestemannen.

Datasikkerhetseksperter sier at det er en håndfull nettleverandører og domenenavnregistratorer som jobber tett med cyberkriminelle for å støtte spamoperasjoner, nettsteder som selger falsk programvare og andre svindel.

Operasjonene er vanskelige å stoppe på grunn av deres internasjonale karakter, hastigheten som cyberkriminelle reagerer på avstengninger og mangel på rettshåndhevelse ressurser eller interesse.

McCosos nedleggelse kom etter at forskningen ble publisert som viste hvorvidt selskapet var involvert i den kriminelle undergrunnen.

På samme måte ble en annen bemerket dårlig ISP - kjent som Atrivo eller Intercage - kuttet av sine oppstrømsleverandører i september som et resultat av økt press fra datasikkerhetssamfunnet. Nylige tilfeller av McColo og Atrivo / Intercage tatt av Internett, vil det være lettere i fremtiden å legge mer press på andre kjente verter av skadelig programvare for å handle eller gå frakoblet ", sier Toralv Dirro, sikkerhetsstrateg for McAfee's Avert Labs, på Thurday.