Spammere gjenvinner kontroll over Srizbi Botnet

Zombie-datamaskiner som brukes til å sende spam er Kommer tilbake til livet.

Sikkerhetsleverandører sier at spammere er koblet sammen med hackede PCer som brukes til å sende spam, som det fremgår av et økende antall spammeldinger som sirkulerer på Internett de siste dagene. Spam nivåer plutselig falt for to uker siden etter nedleggelsen av McColo, en rogue ISP (Internet Service Provider) basert i San Jose, California, hvis tilkobling ble brukt til å kontrollere nettverk av hundretusenvis av datamaskiner for å sende spam, kjent som botnets.

Datamaskiner som er en del av Srizbi botnet - som ifølge noen estimater sendte nesten halvparten av verdens spam - tilsynelatende blir aktive igjen, ifølge forskere fra FireEye.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows PC]

"Srizbi er kommet tilbake fra de døde og har begynt å oppdatere alle sine bots med en ny, ny binær", ifølge et blogginnlegg på tirsdag av Atif Mushtaq og Alex Lanstein fra FireEye. "Den verdensomspennende oppdateringen begynte bare noen få timer siden."

Srizbi's datamaskiner ble kontrollert av spammere gjennom McCologos nettverk. Når McColo ble stengt, prøvde disse datamaskinene å ringe tilbake og få nye instruksjoner for å sende spam. Men botnetoperatørene er kloge og skapt en måte å få de maskinene tilbake hvis de ble strandet. FireEye forskere gjorde i hovedsak en obduksjon på Srizbis kode. De fant at hackerne satte inn en algoritme som dynamisk genererer et domenenavn som en kompromittert datamaskin kunne hente nye instruksjoner fra.

Hackerne kunne da registrere det domenenavnet og sette instruksjoner der for å fortelle den kompromitterte PCen for å gå til en annen kommando-og-kontroll server - ikke McColo's - for nye instruksjoner.

Siden FireEye fant ut hvordan algoritmen fungerte, registrerte selskapet gibberish domenenavn, for eksempel "auaopagr.com", genererte algoritmen. Når disse maskinene ble rapportert for plikt, var det ingen instruksjoner. Men FireEye kunne ikke fortsette å spammere spammere for alltid ved å kjøpe domenenavn.

Nå går de kompromitterte datamaskinene til domenenavn registrert av spammere og får oppdatert kode, inkludert maler for nye spamkampanjer. De nye kommando- og kontrollserverne er i Estland, og domenenavnene blir kjøpt fra en registrator i Russland, sa FireEye.

Srizbi på en gang utgjorde over 450.000 PCer, og det gjenstår å se hvor mange av disse maskinene har oppdatert kode. Men tre andre botneter som ble kontrollert via McColo - Rustock, Cutwail og Asprox - ser ut til å også komme tilbake online.

Dmitry Samosseiko av datasikkerhetsleverandør Sophos skrev onsdag at spamnivået plutselig økte tidligere i uken på grunn av delvis til gjenoppblussen av Rustock botnet.

McCosos tilkobling ble kort gjenopprettet ved en feil av TeliaSonora, og de dyrebare få timene på nettet tillot spammere å fortelle datamaskiner infisert med Rustock, hvor du skal gå for nye instruksjoner.

Antispam-leverandør MessagLabs, som nylig ble kjøpt av Symantec, har ikke notert en økning i spam knyttet til Srizbi, sier Paul Wood, senioranalytiker basert på sine britiske kontorer.

Wood sa MessageLabs analyserer spam som ender opp i innboksen på sine 8 millioner brukere, og det kan hende at Srizbi heller ikke er i ferd med å få fart eller endret hvordan det er målrettet mot folk.

Men MessageLabs har lagt merke til en spiss i spam som kommer fra Rustock, Cutwail og Asprox, noe som vil indikere disse botnene ets plukker opp Srizbi slack.

"Som enhver form for bedrift hvis budet går ned eller streiker, finner du en alternativ leverandør," sa Wood.

Likevel er spamnivåene rundt 40 prosent av hva de var før McColo gikk ned, sa Wood.