Эстонский интернет-провайдер отключает контрольные серверы для Srizbi Botnet

Эстонский интернет-провайдер, который временно размещал серверы управления и контроля для ботнета Srizbi, ответственного за большую часть спама в мире, отключил эти серверы, по мнению аналитиков компьютерной безопасности.

Starline Web Services, базирующаяся в столице Эстонии в Таллинне, провела четыре доменных имени, обозначенных как контрольные точки для Сризби, по словам исследователей из компьютерной безопасности FireEye.

Сотни тысяч компьютеров по всему миру заражены Srizbi, труднодоступный руткит, который используется для отправки спама, были запрограммированы на поиск новых инструкций с серверов в этих доменах.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Srizbi is consi основал одну из более мощных бот-сетей, в которой было инфицировано не менее 450 000 компьютеров. По оценкам, половина спама в мире происходит от компьютеров, зараженных Srizbi. Спам остается прибыльным бизнесом для киберпреступников.

Но спамеры потеряли контроль над Сризби, когда интернет-провайдер, ранее разместивший свои серверы управления и контроля, был отключен от Интернета. McColo, чьи серверы базируются в Сан-Хосе, штат Калифорния, был отключен его провайдерами в начале этого месяца, после того как они были разоблачены экспертами по компьютерной безопасности и Washington Post.

Это оставило спамеров неспособным контролировать компьютеры, зараженные Srizbi. Но код Сризби содержал резервный механизм, в котором спамеры могли повторно подключаться к многожильным машинам, если такой сценарий произошел.

Алгоритм внутри Srizbi периодически генерирует новые доменные имена, где вредоносное ПО будет искать новые инструкции, если эти домены будут жить в Интернете, Вооружившись тем же алгоритмом, спамеры должны были только зарегистрировать соответствующие имена доменов и указать их на свои серверы.

Спамеры, однако, нуждались в новом интернет-провайдере для размещения этих серверов, по крайней мере, на некоторое время. Они обнаружили, что Starline Web Services - очень маленький интернет-провайдер, но с тех пор этот провайдер также отключил их.

«Я был доволен тем, что эти сайты были закрыты», - сказал Хиллар Арелайд (Hillar Aarelaid), главный сотрудник службы безопасности компьютерной команды Эстонии по экстренному реагированию CERT), в четверг.

Попытки связаться с Starline Web Services оказались безуспешными. Но Арелайд сказал, что CERT поддерживает контакт с компанией, и, похоже, он реагирует на жалобы на злоупотребления.

Starline Web Services покупает свою связь от другой эстонской компании Compic. Compic был отмечен эстонским CERT как имеющим веб-сайты, на которых размещено вредоносное программное обеспечение, сказал Тармо Рандель, эксперт по информационной безопасности в организации.

Рандел сказал, что CERT «постоянно» уведомляет Compic о вредоносных программах, которые они размещали. Compic примет меры по удалению сайтов в зависимости от того, насколько громко мы кричим, - сказал Рандел. Как правило, Compic реагирует быстро, когда CERT отправляет электронное письмо с жалобой, и копирует эстонскую уголовную полицию, сказал Рэндел.

В четверг провайдер CompTI вверх, Linxtelecom, отправил электронное письмо эстонскому сообществу ISP, в котором говорится, что они планируя отрезать Compic, сказал Рэндал.

Linxtelecom продает услуги IP-транзита, которые соединяют местных интернет-провайдеров и операторов связи с более крупными носителями данных. Linxtelecom сказал по электронной почте, что 99 процентов жалоб, которые он получает от злоупотреблений, связаны с Compic, сказал Рандел.

Представитель Linxtelecom сказал, что он не знал об электронном письме. По словам чиновника, Compic реагирует на жалобы в течение двух дней или около того, но Linxtelecom в прошлом отключил подключение к веб-сайтам, размещенным Compic после жалоб.

Эксперты в области компьютерной безопасности говорят, что есть несколько интернет-провайдеров и регистраторов доменных имен, которые тесно сотрудничать с киберпреступниками, чтобы поддерживать спам-операции, веб-сайты, которые продают поддельное программное обеспечение и другие мошенничества.

Операции трудно остановить из-за их международного характера, скорости, с которой киберпреступники реагируют на закрытие и отсутствие ресурсов или интересов правоохранительных органов.

Закрытие McColo после публикации исследования показало, в какой степени компания была вовлечена в криминальном подполье.

Аналогичным образом другой известный плохой интернет-провайдер, известный как Atrivo или Intercage, был отключен его провайдерами восходящего потока в сентябре в результате усиления давления со стороны сообщества компьютерной безопасности.

«С Недавние случаи McColo и Atrivo / Intercage вышли из Интернета, в будущем будет легче оказывать давление на других известных хостов-вредителей, чтобы принять меры или выйти в автономный режим », - сказал Торалв Дирро, стратег по безопасности для McAfee Avert Labs, Thurday.