Спамеры восстанавливают контроль над сайтом Srizbi

Зомби-компьютеры, используемые для отправки спама, вернувшись к жизни.

Поставщики безопасности говорят, что спамеры снова подключаются к взломанным компьютерам, используемым для рассылки спама, о чем свидетельствует растущее число спам-сообщений, распространяемых в Интернете в последние несколько дней. Уровни спама внезапно упали две недели назад после закрытия McColo, провайдера интернет-провайдеров из Интернета, расположенного в Сан-Хосе, Калифорния, чья связь была использована для управления сетями сотен тысяч компьютеров для отправки спама, известными как ботнеты.

Компьютеры, которые являются частью ботнета Srizbi, которые по некоторым оценкам отправили почти половину спама в мире, по-видимому, снова активизируются, по словам исследователей из FireEye.

[Дополнительная информация: Как удалить вредоносное ПО из вашего Windows PC]

«Сризби вернулся из мертвых и начал обновлять все свои боты свежим, новым двоичным кодом», сообщается в блоге во вторник Атифом Муштаком и Алексом Ланстейном из FireEye. «Обновление по всему миру началось всего несколько часов назад».

Компьютеры Шризби контролировались спамерами через сеть Макколо. Когда McColo был закрыт, эти компьютеры попытались перезвонить и получить новые инструкции для отправки спама. Но операторы ботнета умны и создали способ вернуть эти машины, если они оказались застрявшими.

Исследователи FireEye по существу сделали вскрытие по коду Сризби. Они обнаружили, что хакеры ввели алгоритм, который динамически генерирует доменное имя, из которого взломанный компьютер может извлекать новые инструкции.

Затем хакеры могут зарегистрировать это доменное имя и ввести там инструкции, чтобы сообщить взломанному ПК перейти к другому сервер управления и управления - а не McColo - для новых инструкций.

Так как FireEye выяснил, как работает алгоритм, компания зарегистрировала доменные имена таблеток, такие как «auaopagr.com», который сгенерировал этот алгоритм. Когда эти машины сообщали об обязанности, инструкций не было. Но FireEye не могла продолжать вытеснять спамеров навсегда, покупая доменные имена.

Теперь скомпрометированные компьютеры подключаются к доменным именам, зарегистрированным спамерами, и получают обновленный код, включая шаблоны для новых спам-кампаний. Новые серверы управления и контроля находятся в Эстонии, а доменные имена покупаются у регистратора в России, сказал FireEye.

Сризби в свое время составлял более 450 000 компьютеров, и пока неясно, сколько из них эти машины обновили код. Но три других ботнета, которые контролировались через McColo - Rustock, Cutwail и Asprox - все, похоже, также возвращаются в сети.

Дмитрий Самосейко из поставщика компьютерной безопасности Sophos написал в среду, что уровни спама внезапно выросли на этой неделе, отчасти к возрождению ботнета Rustock.

Связи McColo были ненадолго восстановлены по ошибке TeliaSonora, а драгоценные несколько часов в Интернете позволили спамерам сообщать компьютерам, зараженным Rustock, куда искать новые инструкции.

Поставщик антиспама MessagLabs, который недавно был приобретен Symantec, не заметил роста спама, связанного со Srizbi, сказал Пол Вуд, старший аналитик, базирующийся в своих офисах в Великобритании.

Wood сказал, что MessageLabs анализирует спам, который попадает в почтовые ящики его 8 миллионов пользователей, и может быть, что Srizbi либо не успевает, либо изменит свое отношение к людям.

Но MessageLabs заметил всплеск спама, который поступает от Rustock, Cutwail и Asprox, что указывает на то, что бот

«Как любой бизнес, если ваш курьер идет вниз или ставит удар, вы найдете альтернативного провайдера, - сказал Вуд.

Тем не менее, уровни спама составляют около 40 процентов того, что они были до того, как Макколо спустился, сказал Вуд.