ISP Estonia menghapuskan Kawalan Pelayan untuk Srizbi Botnet

ISP Estonia yang menjadi tuan rumah bagi pelayan arahan dan kawalan untuk botnet Srizbi, bertanggungjawab untuk sebahagian besar spam dunia, telah memotong pelayan tersebut, menurut penganalisis keselamatan komputer

Perkhidmatan Web Starline, yang berpangkalan di ibu kota Tallinn, Estonia, telah menganjurkan empat nama domain yang dikenalpasti sebagai titik kawalan untuk Srizbi, menurut penyelidik dari firma keselamatan komputer FireEye.

Beratus ribu PC di seluruh dunia yang dijangkiti dengan Srizbi, rootkit sukar untuk dikeluarkan yang digunakan untuk menghantar spam, telah diprogramkan untuk mendapatkan arahan baru dari pelayan dalam domain tersebut.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows anda]

Srizbi is consi merosakkan salah satu botnet yang lebih berkuasa, dengan sekurang-kurangnya 450,000 PC dijangkiti. Dianggarkan bahawa separuh daripada spam dunia berasal dari komputer yang dijangkiti dengan Srizbi. Spam tetap menjadi perniagaan yang menguntungkan bagi penjenayah siber.

Tetapi spammer kehilangan kendali atas Srizbi ketika ISP yang sebelumnya menjadi tuan rumah pelayan arahan dan kawalannya telah dipotong dari Internet. McColo, yang pelayannya berpangkalan di San Jose, California, dipecat oleh pembekal huluannya awal bulan ini selepas didedahkan oleh pakar keselamatan komputer dan Washington Post.

Ini menyebabkan spammer tidak dapat mengawal komputer yang dijangkiti oleh Srizbi. Tetapi kod Srizbi mengandung mekanisme sandaran dimana spammer dapat menyambung semula dengan mesin yang terdampar jika senario seperti itu terjadi.

Algoritma dalam Srizbi secara berkala akan menghasilkan nama domain baru di mana malware itu akan mencari arahan baru jika domain tersebut hidup di Internet. Bersenjata dengan algoritma yang sama, spammer hanya dapat mendaftarkan nama domain yang sesuai dan mengarahkannya ke pelayan mereka.

Para spammer, bagaimanapun, memerlukan ISP baru untuk menjadi tuan rumah pelayan itu, sekurang-kurangnya untuk seketika.

"Saya berpuas hati bahawa laman-laman tersebut telah ditutup," kata Hillar Aarelaid, ketua pegawai keselamatan pasukan Tim Kecemasan Komputer Estonia (" CERT), pada hari Khamis.

Percubaan untuk menghubungi Perkhidmatan Web Starline tidak berjaya. Tetapi Aarelaid berkata CERT telah berurusan dengan syarikat itu, dan ia nampaknya responsif kepada aduan mengenai penyalahgunaan.

Perkhidmatan Web Starline membeli sambungannya dari Compic, sebuah syarikat Estonian yang lain. Compic telah ditandai oleh CERT Estonia kerana mempunyai laman web yang menganjurkan perisian berniat jahat, kata Tarmo Randel, seorang pakar keselamatan maklumat di organisasi.

Randel berkata CERT telah "diberitahu" secara terus-menerus mengenai Compic mengenai malware yang mereka hoskan. Compic akan mengambil tindakan untuk membuang laman web bergantung kepada "betapa kuatnya kita menjerit," kata Randel. Compic biasanya bertindak balas dengan cepat apabila CERT menghantar e-mel pengaduan - dan menyalin Polis Jenayah Estonian, kata Randel.

Pada hari Khamis, pembekal huluan Compic, Linxtelecom, menghantar e-mel kepada komuniti ISP Estonia yang mengatakan mereka merancang untuk memotong Compic, Randal berkata.

Linxtelecom menjual layanan transit IP yang menghubungkan ISP dan operator telekomunikasi tempatan dengan pembawa data yang lebih besar. Linxtelecom berkata dalam e-mel bahawa 99 peratus daripada aduan yang diterima daripada penyalahgunaan adalah berkaitan dengan Compic, kata Randel.

Seorang pegawai Linxtelecom mengatakan dia tidak tahu tentang e-mel tersebut. Compic tidak bertindak balas kepada aduan dalam masa dua hari atau lebih, tetapi Linxtelecom pada masa lalu memotong sambungan ke laman web yang dihoskan oleh Compic selepas aduan, kata pegawai itu.

Pakar keselamatan komputer mengatakan terdapat beberapa pendaftar ISP dan pendaftar nama domain bekerjasama rapat dengan penjenayah siber untuk menyokong operasi spam, laman web yang menjual perisian palsu dan penipuan lain.

Operasi sukar untuk dihentikan kerana sifat antarabangsa mereka, kelajuan yang mana penjenayah siber bertindak balas terhadap penutupan dan kekurangan sumber penguatkuasaan atau kepentingan undang-undang.

Penangguhan McColo datang selepas penyelidikan diterbitkan yang menunjukkan sejauh mana syarikat terlibat

Begitu juga, satu lagi ISP buruk yang dikenali sebagai Atrivo atau Intercage - telah dipotong oleh penyedia hulunya pada bulan September akibat tekanan yang meningkat dari komuniti keselamatan komputer. kes baru-baru ini McColo dan Atrivo / Intercage diambil dari Internet, akan lebih mudah di masa depan untuk memberikan tekanan kepada orang lain yang dikenali sebagai badware untuk mengambil tindakan atau pergi offline, "kata Toralv Dirro, ahli strategi keselamatan untuk Avert Labs McAfee Thurday.