FireEye быстро переходит в Quash Mega-D Botnet

Компания по компьютерной безопасности, известная тем, что сражалась с бот-сетями, переехала на прошлой неделе, чтобы попытаться закрыть постоянный спам-плеер.

Компания FireEye, калифорнийская компания, которая занимается безопасностью, отслеживала ботнет под названием Mega -D или Ozdok. Согласно сообщениям M86 Security, Mega-D, являющаяся сетью взломанных компьютеров, несет ответственность за отправку более 4 процентов спама в мире. Многие из компьютеров, которые составляют Mega-D, являются зараженными домашними ПК.

Mega-D является одним из нескольких бот-сетей, которые внедрили передовые технические меры, чтобы его владельцы не потеряли контроль над взломанными ПК. Хакеры используют серверы управления и управления для выдачи инструкций для ПК-зомби, например, когда запускается спам-кампания.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В случае Mega -D, взломанные ПК будут искать определенные доменные имена для загрузки инструкций, пишет Atiq Mushtaq из FireEye в блоге компании. Если эти домены неактивны - они часто закрываются интернет-провайдерами, если они связаны со злоупотреблением. Машины Mega-D будут искать пользовательские серверы DNS (Domain Name System) для поиска живых доменов.

Если это также не удается, Mega-D запрограммирован на создание случайного имени домена на основе текущей даты и времени, пишет Mushtaq. Когда хакеры регистрируют доменное имя, зараженные машины могут посещать там, чтобы получить новые инструкции.

Механизмы Mega-D для обеспечения того, чтобы он оставался в живых, затруднили безопасность компаний. «Если кто-то не будет достаточным для предварительной регистрации этих доменов, бот-пастухи всегда могут выступить и зарегистрировать эти домены и вернуть управление бот-сет», - написал Муштак.

В прошлый четверг вечером FireEye начал свое нападение, связавшись с интернет-провайдерами, которые были машины, работающие в качестве серверов управления и управления для Mega-D. Все, кроме четырех поставщиков услуг, отключили соединения для IP-адресов, используемых Mega-D, пишет Mushtaq. FireEye также связалась с регистраторами, которые контролируют доменные имена, используемые для Mega-D.

В качестве окончательной меры FireEye зарегистрировала автогенерированные имена доменов, на которые заразились компьютеры Mega-D, если бы компьютеры не смогли достичь других командно- контрольные узлы.

Mushtaq написал в пятницу, что около 264,784 уникальных IP-адреса (Интернет-протокола) связались с сервером Fireinye «пробойник» или сервером, настроенным для идентификации зараженных ПК.

«Данные, собранные с сервера просачивания журналы будут использоваться для идентификации компьютеров-жертв », - писал Муштайк.

Ожидается, что интернет-провайдеры свяжутся с этими подписчиками и сообщит им, что им нужно запустить антивирусное сканирование.

Усилия FireEye, а также сотрудничество с интернет-провайдерами и регистраторы, по-видимому, успешно приручили Mega-D, по крайней мере временно.

В понедельник статистика из M86 Security показала, что спам Mega-D почти остановился. На одном из предыдущих моментов M86 обнаружил, что один компьютер, зараженный Мега-D, отправляет до 15 000 спам-сообщений в час.

«Это ясно показывает, что трудно сбить некоторые из самых противных бот-сетей мира, - писал Муштак.

Но отсрочка может длиться недолго. FireEye упреждала Mega-D, регистрируя домены, которые будут искать боты, но этот процесс может быть бесконечным и дорогостоящим. Если FireEye перестает регистрировать домены, а потерянные боты звонят домой, хакеры могут загружать в них новый код, чтобы затруднить их закрытие.

«Мы не уверены, как долго мы можем идти в ногу с этими будущими доменами», - написал Муштак.