Estisk internetudbyder afskærer kontrolservere til Srizbi Botnet

En estisk ISP, der midlertidigt var vært for kommando- og kontrol-serverne til Srizbi botnet, der er ansvarlig for en stor del af verdens spam, har afskåret disse servere, ifølge computerens sikkerhedsanalytikere.

Starline Web Services, der er baseret i Estlands hovedstad Tallinn, havde vært vært for fire domænenavne, der blev identificeret som kontrolpunkter for Srizbi, ifølge forskere fra computersikkerhedsfirma FireEye.

Hundredusinder af pc'er rundt om i verden inficeret med Srizbi, en svær at fjerne rootkit, der bruges til at sende spam, blev programmeret til at søge nye instruktioner fra servere på disse domæner.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Srizbi er Consi dered en af ​​de mere kraftfulde botnets, med mindst 450.000 pc'er inficeret. Det anslås, at halvdelen af ​​verdens spam skyldes computere inficeret med Srizbi. Spam forbliver en rentabel forretning for cyberkriminelle.

Men spammere mistede kontrollen med Srizbi, da internetudbyderen, der tidligere var vært for sine kommando- og styringsservere, blev afskåret fra internettet. McColo, hvis servere er baseret i San Jose, Californien, blev afskåret af dens upstream-udbydere tidligere i måneden efter at være udsat af computer sikkerhed eksperter og Washington Post.

Det forlod spammere ude af stand til at kontrollere Srizbi-inficerede computere. Men Srizbi's kode indeholdt en tilbageslagsmekanisme, hvor spammere kunne genoprette forbindelse til de strengede maskiner, hvis et sådant scenario opstod.

En algoritme inden for Srizbi ville med jævne mellemrum generere nye domænenavne, hvor malware ville lede efter nye instruktioner, hvis disse domæner var levende på internettet. Væbnede med den samme algoritme, havde spammerne kun at registrere de relevante domænenavne og pege dem på deres servere.

Spammerne havde dog brug for en ny internetudbyder til at være vært for disse servere, i det mindste et stykke tid. De fandt Starline Web Services, en meget lille internetudbyder, men denne udbyder har siden også afskåret dem.

"Jeg var tilfreds med, at disse websteder blev lukket," siger Hillar Aarelaid, chefssikkerhedsofficer for Estlands computerberedskabsteam CERT), på torsdag.

Forsøg på at kontakte Starline Web Services mislykkedes. Men Aarelaid sagde, at CERT har været i kontakt med virksomheden, og det ser ud til at være lydhør over klager over misbrug.

Starline Web Services køber sin forbindelse fra Compic, et andet estisk selskab. Compic er blevet markeret af Estlands CERT, fordi de har websteder, der leverer ondsindet software, siger Tarmo Randel, en informationssikkerhedsekspert hos organisationen.

Randel sagde, at CERT har "constantly" notified Compic om malware, de har været vært for. Compic vil tage skridt til at fjerne webstederne afhængigt af "hvor højt vi skriger", sagde Randel. Compic reagerer normalt hurtigt, når CERT sender en klage e-mail - og kopierer det estiske straffepoliti, sagde Randel.

På torsdag sendte Compic's upstream-udbyder, Linxtelecom, en e-mail til det estiske ISP-fællesskab, der sagde at de er planlægger at afskaffe Compic, sagde Randal.

Linxtelecom sælger IP-transitydelser, der forbinder lokale internetudbydere og teleselskaber med større databærere. Linxtelecom sagde i e-mailen, at 99 procent af de klager, det modtager over misbrug, er relateret til Compic, sagde Randel.

En officiel Linxtelecom sagde, at han ikke vidste om e-mailen. Compic reagerer på klager inden for to dage eller deromkring, men Linxtelecom har tidligere afbrudt forbindelsen til websteder, der er vært hos Compic efter klager, sagde embedsmanden.

Computersikkerhedseksperter siger, at der er en håndfuld internetudbydere og domænenavnregistratorer, der arbejde tæt sammen med cyberkriminelle for at understøtte spam-operationer, websteder, der sælger falsk software og andre svindel.

Operationerne er vanskelige at stoppe på grund af deres internationale karakter, hvor hurtigt cyberkriminelle reagerer på nedlukninger og manglende retshåndhævelsesressourcer eller -interesser.

McCologos nedlukning kom efter, at der blev offentliggjort forskning, der viste, i hvilket omfang selskabet var involveret i den kriminelle underjordiske.

På samme måde blev en anden bemærkede dårlig internetudbyder, kendt som Atrivo eller Intercage, afskåret af sine upstream-udbydere i september som et resultat af stigende pres fra computerens sikkerhedssamfund. Nylige tilfælde af McColo og Atrivo / Intercage taget af internettet, vil det være lettere i fremtiden at lægge mere pres på andre kendte værter af badware til at handle eller gå offline ", siger Toralv Dirro, sikkerhedsstrateg for McAfee's Avert Labs, på Thurday.