Spammere genvinder kontrol over Srizbi Botnet

Zombie-computere bruges til at sende spam kommer tilbage til livet.

Sikkerhedsleverandører siger, at spammere genopretter forbindelse med hackede pc'er, der bruges til at sende spam, som det fremgår af et stigende antal spam-meddelelser, der cirkulerer på internettet de sidste par dage. Spam niveauer faldt pludselig for to uger siden efter afbrydelsen af ​​McColo, en rogue ISP (Internet Service Provider) baseret i San Jose, Californien, hvis forbindelse blev brugt til at kontrollere netværk af hundredtusinder computere til at sende spam, kendt som botnets.

Computere, der er en del af Srizbi botnet - som ifølge nogle skøn sender næsten halvdelen af ​​verdens spam - tilsyneladende bliver aktive igen, ifølge forskere fra FireEye.

[Yderligere læsning: Sådan fjernes malware fra din Windows PC]

"Srizbi er vendt tilbage fra de døde og er begyndt at opdatere alle sine bots med en frisk, ny binær", ifølge et blogpost på tirsdag af Atif Mushtaq og Alex Lanstein fra FireEye. "Den verdensomspændende opdatering begyndte for et par timer siden."

Srizbi's computere blev kontrolleret af spammere via McCologos netværk. Da McColo blev lukket, forsøgte disse computere at ringe tilbage og få nye instruktioner til at sende spam. Men botnetoperatørerne er kloge og skabt en måde at få disse maskiner tilbage, hvis de blev strandet. FireEye forskere gjorde i det væsentlige en obduktion på Srizbi's kode. De fandt ud af, at hackerne indførte en algoritme, der dynamisk genererer et domænenavn, hvorfra en kompromitteret computer kunne hente nye instruktioner.

Hackerne kunne derefter registrere det domænenavn og lægge instruktioner der for at fortælle den kompromitterede pc, at de skulle gå til en anden command-and-control server - ikke McColo's - til nye instruktioner.

Siden FireEye fandt ud af, hvordan algoritmen fungerede, registrerede virksomheden de gibberiske domænenavne, som "auaopagr.com", som algoritmen genererede. Når disse maskiner blev rapporteret til tjeneste, var der ingen instrukser. Men FireEye kunne ikke holde spammerne for tidligt ved at købe domænenavne.

Nu går de kompromitterede computere i forbindelse med domænenavne registreret af spammerne og får opdateret kode, herunder skabeloner til nye spamkampagner. De nye kommando- og styringsservere er i Estland, og domænenavne er købt fra en registrator i Rusland, sagde FireEye.

Srizbi på et tidspunkt udgjorde mere end 450.000 pc'er, og det er stadig at se, hvor mange af disse maskiner har opdateret kode. Men tre andre botnets, der blev styret via McColo - Rustock, Cutwail og Asprox - ser også ud til at være kommet tilbage online.

Dmitry Samosseiko af datasikkerhedsleverandør Sophos skrev onsdag, at spamniveauet pludselig steg forrige uge i forvejen delvis til genopblussen af ​​Rustock botnet.

McColos tilslutning blev fejlagtigt genoprettet af TeliaSonora, og de dyrebare få timer online gav spammere mulighed for at fortælle computere inficeret med Rustock, hvor de skulle gå efter nye instruktioner.

Antispam-sælger MessagLabs, som for nylig blev erhvervet af Symantec, har ikke bemærket en stigning i spam forbundet med Srizbi, sagde Paul Wood, senioranalytiker baseret på deres britiske kontorer.

Wood sagde MessageLabs analyserer spam, der ender i indbakken på sine 8 millioner brugere, og det kan være, at Srizbi heller ikke er hurtigere eller ændret, hvordan det er målrettet mod mennesker.

Men MessageLabs har bemærket en uptick i spam fra Rustock, Cutwail og Asprox, hvilket ville indikere de botn ets henter Srizbi's slap.

"Som enhver form for virksomhed, hvis din kurer går ned eller går i strejke, finder du en alternativ udbyder," sagde Wood.

Stadig er spamniveauerne omkring 40 procent af hvad de var før McColo gik ned, sagde Wood.