Shadowserver возьмет на себя роль Mega-D Botnet Herder

В настоящее время предпринимаются усилия по очистке десятков тысяч компьютеров, зараженных вредоносным программным обеспечением, известным для выпуска тысяч спам-сообщений в час.

Инфицированные компьютеры являются частью ботнета под названием Ozdok или Mega-D, который в свое время отправлял около 4 процентов спам-сообщений в мире.

На прошлой неделе поставщик безопасности FireEyela отправил диск для демонтажа ботнета. Зараженные компьютеры получают инструкции и информацию для новых спам-кампаний с помощью серверов управления и управления. FireEye связался с сетевыми провайдерами, которые размещали эти серверы, и большинство из них были отключены.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Это означает, что люди, управляющие взломанными компьютерами, известными как пастухи ботнеров, Больше не связывайтесь с большинством своих ботов. Спам от Mega-D почти полностью остановился. FireEye также отключил второй механизм избыточности, который пастухи запрограммировали в Mega-D.

Если зараженные компьютеры не могут связаться с сервером управления и управления, они запрограммированы с помощью алгоритма, который будет генерировать произвольное доменное имя и попытайтесь связаться с этим доменом ежедневно. Пастухи знают, что этот домен будет, и могут загружать там новые инструкции.

Если эти зараженные машины получают новые инструкции, вероятно, это означает, что FireEye потеряет контроль и снова начнется, чтобы попытаться закрыть Mega-D. FireEye регистрирует эти домены, чтобы не допустить, чтобы овцы ботнетов восстановили контроль.

Но FireEye теперь передал контроль над этими ботами в Shadowserver, организацию, выполняющую добровольцы, которая отслеживает бот-сети.

Shadowserver взял на себя управление «пробкой» или компьютером под управлением специального программного обеспечения, которое действует как сервер управления и управления, на который будут звонить боты Mega-D, сказал соучредитель Shadowserver Андре М. Димино.

Shadowserver теперь находится в процесс идентификации отдельных компьютеров, зараженных Mega-D, а затем обращения к поставщикам услуг для этих зараженных хостов. Цель состоит в том, чтобы эти поставщики услуг связывались с владельцами этих компьютеров и попросили их запустить антивирусное сканирование, чтобы удалить заражение и уничтожить Mega-D.

«Для провайдеров, безусловно, проблема для работы с уровень подписчиков, и мы это понимаем », - сказал Димино. «Лучшее, что мы делаем в этот момент, приобретает столь же грамотный характер, насколько это возможно для ISP, чтобы помочь им. Идеально цель - очистить зараженную машину».

Shadowserver регулярно отправляет бесплатный список зараженных компьютеров поставщиков услуг, но определить машины непросто. DiMino сообщает, что корпоративные сети часто показывают только один внешний IP-адрес (интернет-протокол) для сотен пользователей, и интернет-провайдеры будут назначать разные IP-адреса для ПК, когда пользователи будут включать и выключать свои компьютеры.

Фиксирование этих компьютеров может быть медленным процессом, поскольку, по оценкам, до 500 000 компьютеров по всему миру заражены Mega-D, и это ни в коем случае не самый большой ботнет. По оценкам, Conficker заразил до 7 миллионов машин.

В Бразилии 11,5 процента от общего числа мега-D-инфекций, за которыми следуют Индия и Вьетнам, сообщается в блоге FireEye. ДиМино сказал, что Shadowserver имеет тесные связи с группами компьютерных аварийных аварий по всему миру, включая Бразилию, которые могут помочь работать с сетевыми провайдерами.

Даже если Mega-D нельзя полностью уничтожить, «иногда срывы более реалистичны, - сказал Димино.

«Мы посмотрим, каков эффект, - сказал он. «Жюри все еще не работает».