Shadowserver overtar som Mega-D Botnet Herder

En innsats er på vei for å rydde opp titusenvis av datamaskiner som er smittet med ondsinnet programvare, kjent for å kaste ut tusenvis av spammeldinger per time.

De infiserte datamaskinene er en del av et botnet som heter Ozdok eller Mega-D, som på en gang sendte ut rundt 4 prosent av verdens spammeldinger.

Sikkerhetsleverandør FireEyelaunched en stasjon for å demontere botnet. De infiserte datamaskinene får instruksjoner og informasjon for nye spamkampanjer via kommando- og kontrollservere. FireEye kontaktet nettverksleverandører som var vert for disse serverne, og de fleste ble slått av.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Det betydde at folkene som kontrollerte de hakkede PCene, kjent som botnet herders, kunne ikke Ikke kontakt de fleste av sine bots lenger. Spam fra Mega-D stoppet nesten helt. FireEye også kuttet av en andre redundansemekanisme de herdene som er programmert til Mega-D.

Hvis de infiserte maskinene ikke kan kontakte en kommando- og kontrollserver, er de programmert med en algoritme som vil generere et tilfeldig domenenavn og Prøv å kontakte det domenet daglig. Herregudene vet hva dette domenet vil være og kan laste opp nye instruksjoner der.

Hvis de infiserte maskinene får nye instruksjoner, betyr det sannsynligvis at FireEye vil miste kontrollen og må begynne igjen for å prøve å slå Mega-D ned. FireEye har registrert disse domenene for å forhindre at botnet-herdene får kontroll.

Men FireEye har nå gitt kontroll over disse botsene til Shadowserver, en frivillig organisasjon som følger botnets.

Shadowserver har overtatt administrasjonen av en "sinkhole" eller en datamaskin som kjører tilpasset programvare som fungerer som en kommando- og kontrollserver som Mega-D-bots vil ringe på, sa Andre 'M. DiMino, Shadowserver medstifter.

Shadowserver er nå inne prosessen med å identifisere enkelte datamaskiner som er smittet med Mega-D og deretter kontakte tjenesteleverandørene for de infiserte vertene. Målet er å få disse tjenesteleverandørene til å kontakte eierne av disse datamaskinene og be dem om å kjøre en antivirusskanning for å fjerne infeksjonen og utrydde Mega-D.

"Det er absolutt en utfordring for Internett-leverandørene å arbeide ned til abonnent nivå, og vi forstår det, "DiMino sa. "Det beste vi gjør på dette punktet, er å få så granulær identifikasjon som vi kan for Internett-leverandøren for å hjelpe dem. Ideelt er målet å rydde opp den infiserte maskinen."

Shadowserver sender jevnlig en gratis liste over infiserte maskiner til tjenesteleverandører, men det er ikke lett å identifisere maskiner. Bedriftsnett viser ofte bare en ekstern IP-adresse (Internett-protokoll) for hundrevis av brukere, og Internett-leverandører vil tilordne forskjellige IP-adresser til PC-er når brukere slår på og av datamaskiner, sier DiMino.

Å fikse disse datamaskinene kan være en sakte prosess, som det anslås at opptil 500 000 datamaskiner rundt om i verden er infisert med Mega-D, og ​​det er ikke på noen måte den største botnet. Conficker, for eksempel, anslås å ha smittet opptil 7 millioner maskiner.

Brasil har 11,5 prosent av de totale Mega-D-infeksjonene, etterfulgt av India og Vietnam, ifølge FireEye's blogg. DiMino sa at Shadowserver har sterke bånd med Computer Emergency Response Teams over hele verden, inkludert Brasil, som kan bidra til å jobbe med nettverksleverandører.

Selv om Mega-D ikke helt kan drepes, er "noen ganger forstyrrelse mer realistisk, "DiMino sa.

" Vi ser hva effekten er, "sa han. "Juryen er fortsatt ute."