Shadowserver overtar som Mega-D Botnet Herder

Der er gjort en indsats for at rydde op titusindvis af computere inficeret med ondsindet software, der er kendt for at udrydde tusindvis af spambeskeder i timen.

De inficerede computere er en del af et botnet kaldet Ozdok eller Mega-D, som på et tidspunkt sendte ud omkring 4 procent af verdens spam-meddelelser.

Sikkerhedsleverandør FireEyelaunched et drev til demontering af botnet. De inficerede computere modtager instruktioner og oplysninger om nye spamkampagner via kommando- og kontrol-servere. FireEye kontaktede netværksudbydere, som var vært for disse servere, og de fleste blev lukket.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Det betød, at de mennesker, der kontrollerede de hackede pc'er, kendt som botnethærtere, kunne ikke Kontakt ikke de fleste af deres robotter længere. Spam fra Mega-D stoppede næsten helt. FireEye afskåret også en anden redundansmekanisme for hyrderne programmeret til Mega-D.

Hvis de inficerede maskiner ikke kan kontakte en kommando- og styringsserver, programmeres de med en algoritme, der vil generere et tilfældigt domænenavn og Prøv at kontakte det pågældende domæne dagligt. Herren ved, hvad dette domæne vil være og kan uploade nye instruktioner der.

Hvis de inficerede maskiner får nye instruktioner, betyder det sandsynligvis, at FireEye vil miste kontrollen og skal starte igen for at prøve at lukke Mega-D ned. FireEye har registreret disse domæner for at forhindre Botnet-hyrderne i at genvinde kontrol.

Men FireEye har nu afgivet kontrol over disse bots til Shadowserver, en frivilligt kørende organisation, der følger botnets.

Shadowserver har overtaget administrationen af en "sinkhole" eller en computer, der kører brugerdefineret software, der fungerer som en kommando- og kontrolserver, som Mega-D-robotterne vil påkalde, siger Andre 'M. DiMino, Shadowserver medstifter.

Shadowserver er nu inde processen med at identificere individuelle computere inficeret med Mega-D og derefter kontakte tjenesteudbyderne for de inficerede værter. Målet er at få disse tjenesteudbydere til at kontakte ejerne af disse computere og bede dem om at køre en antivirus scan for at fjerne infektionen og udrydde Mega-D.

"Det er helt sikkert en udfordring for internetudbyderne at arbejde ned til abonnentniveau, og vi forstår det, "sagde DiMino. "Det bedste, vi gør på dette tidspunkt, er at få så granulær identifikation som muligt for internetudbyderen til at hjælpe dem. Ideelt er målet at rydde op den inficerede maskine."

Shadowserver sender jævnligt en gratis liste over inficerede maskiner til tjenesteudbydere, men identificerende maskiner er ikke let. Virksomhedsnetværk viser kun en ekstern IP-adresse (Internet Protocol) til hundredvis af brugere, og internetudbydere vil tildele forskellige IP-adresser til pc'er, når brugere tænder og slukker for deres computere, siger DiMino.

Fastsættelse af disse computere kan være en langsom proces, da det anslås, at op til 500.000 computere rundt om i verden er inficeret med Mega-D, og ​​det er ikke på nogen måde den største botnet. Conficker, for eksempel, anslås at have inficeret op til 7 millioner maskiner.

Brasilien har 11,5 procent af de samlede Mega-D infektioner, efterfulgt af Indien og Vietnam ifølge FireEye's blog. DiMino sagde, at Shadowserver har stærke bånd til Computer Emergency Response Teams rundt om i verden, herunder Brasiliens, som kan hjælpe med at arbejde med netværksudbydere.

Selvom Mega-D ikke helt kan slås af, er "sommetider forstyrrelse mere realistisk, "Sagde DiMino.

" Vi vil se, hvad effekten er, "sagde han. "Juryen er stadig ude."