FireEye Bergerak Cepat ke Quash Mega-D Botnet

Sebuah syarikat keselamatan komputer yang dikenali untuk membantah botnet berpindah minggu lalu untuk cuba mematikan pemain spam berterusan

FireEye, sebuah syarikat California yang membuat peralatan keselamatan, telah menjejaki botnet yang dipanggil Mega -D atau Ozdok. Mega-D, yang merupakan rangkaian komputer yang digodam, bertanggungjawab menghantar lebih daripada 4 peratus spam dunia, menurut M86 Security. Banyak komputer yang membentuk Mega-D dijangkiti PC rumah.

Mega-D adalah salah satu daripada beberapa botnet yang telah melaksanakan langkah-langkah teknikal yang lebih maju untuk memastikan pemiliknya tidak kehilangan kendali PC yang digodam. Peretas menggunakan pelayan arahan dan kawalan untuk mengeluarkan arahan kepada PC zombie, seperti ketika menjalankan kempen spam.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Dalam kes Mega -D, PC yang digodam akan mencari nama domain tertentu untuk memuat turun arahan, tulis Atiq Mushtaq of FireEye pada blog syarikat. Jika domain tersebut tidak aktif - mereka sering ditutup oleh ISP jika mereka dikaitkan dengan penyalahgunaan - mesin Mega-D akan mencari pelayan DNS (Domain Name System) khusus untuk mencari domain langsung.

Jika itu juga gagal, Mega-D diprogramkan untuk menghasilkan nama domain rawak berdasarkan tarikh dan masa semasa, Mushtaq menulis. Apabila penggodam mendaftarkan nama domain, mesin yang dijangkiti boleh pergi ke sana untuk mendapatkan arahan baru.

Mekanisme Mega-D untuk memastikan ia tetap hidup telah menjadikannya sukar bagi syarikat-syarikat keselamatan. "Sekiranya seseorang tidak cukup komited untuk mendaftarkan semula domain tersebut, para pengembara bot sentiasa boleh maju dan mendaftarkan domain tersebut dan mengambil kawalan botnet," tulis Mushtaq.

Malam Khamis lepas, FireEye memulakan serangannya, menghubungi ISP bahawa mempunyai mesin bertindak sebagai pelayan arahan dan kawalan untuk Mega-D. Semua tetapi empat pembekal perkhidmatan menutup sambungan untuk alamat IP yang digunakan oleh Mega-D, Mushtaq menulis. FireEye juga menghubungi pendaftar yang mengawal nama domain yang digunakan untuk Mega-D.

Sebagai langkah terakhir, FireEye mencatatkan nama domain yang dijana secara automatik yang dijangkiti komputer Mega-D akan menghubungi jika mesin gagal mencapai arahan lain-dan-

Mushtaq menulis pada hari Jumaat bahawa ada 264,784 alamat IP (Internet Protocol) yang unik telah menghubungi pelayan "sinkhole" FireEye, atau pelayan yang ditetapkan untuk mengenal pasti PC yang dijangkiti.

"Data yang dikumpul dari pelayan sinkhole log akan digunakan untuk mengenal pasti mesin mangsa, "tulis Mushtaq.

Diharapkan ISP akan menghubungi pelanggan tersebut dan memberitahu mereka bahawa mereka perlu menjalankan imbasan antivirus.

Usaha FireEye, bersama-sama dengan kerjasama ISP dan pendaftar, nampaknya telah berjaya menjinakkan Mega-D, sekurang-kurangnya sementara.

Pada hari Isnin, statistik dari M86 Security menunjukkan bahawa spam Mega-D telah hampir berhenti. Pada satu titik sebelumnya, M86 telah melihat satu komputer yang dijangkiti Mega-D tunggal menghantar seramai 15,000 mesej spam setiap jam.

"Ini dengan jelas menunjukkan bahawa sukar tetapi tidak mustahil untuk mengambil beberapa botnets yang paling tidak menyenangkan di dunia, "Mushtaq menulis

Tetapi penangguhan mungkin tidak bertahan lama. FireEye telah mengecewakan Mega-D dengan mendaftarkan domain yang akan dicari oleh bot, tetapi proses itu tidak boleh berakhir dan mahal. Jika FireEye berhenti mendaftarkan domain dan bot-bot yatim memanggil rumah, penggodam boleh memuatkan kod baru kepada mereka untuk membuat mereka lebih sukar untuk ditutup.

"Kami tidak pasti berapa lama kita boleh mengikuti domain-domain masa depan ini," tulis Mushtaq.