Spammers Regaining Control Over Srizbi Botnet

Komputer zombie yang digunakan untuk menghantar spam adalah

Penjual keselamatan kata spammer menyambung semula dengan PC yang digodam yang digunakan untuk menghantar spam seperti yang dibuktikan oleh peningkatan jumlah mesej spam yang beredar di Internet beberapa hari yang lalu. Tahap Spam tiba-tiba jatuh dua minggu lalu selepas penutupan McColo, penyokong ISP (Penyedia Perkhidmatan Internet) yang berpangkalan di San Jose, California, yang koneksinya digunakan untuk mengawal rangkaian beratus-ratus komputer untuk menghantar spam, yang dikenali sebagai botnet.

Komputer yang merupakan sebahagian daripada botnet Srizbi - yang oleh beberapa anggaran menghantar hampir separuh daripada spam dunia - nampaknya menjadi aktif lagi, menurut penyelidik dari FireEye.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari Windows PC]

"Srizbi telah kembali dari kematian dan telah mula mengemas kini semua botnya dengan binari baru," menurut catatan blog pada hari Selasa oleh Atif Mushtaq dan Alex Lanstein dari FireEye. "Kemas kini seluruh dunia bermula hanya beberapa jam yang lalu."

Komputer Srizbi dikendalikan oleh spammer melalui rangkaian McColo. Apabila McColo dimatikan, komputer tersebut cuba menghubungi semula dan mendapatkan arahan baru untuk menghantar spam. Tetapi pengendali botnet pandai dan mencipta cara untuk mendapatkan semula mesin tersebut jika mereka terkandas.

Penyelidik FireEye pada dasarnya melakukan autopsi pada kod Srizbi. Mereka mendapati bahawa penggodam dimasukkan ke dalam algoritma yang secara dinamik menghasilkan nama domain yang mana komputer yang dikompromi boleh mendapatkan arahan baru.

Peretas kemudian boleh mendaftarkan nama domain itu dan meletakkan arahan di sana untuk memberitahu PC yang dikompromikan untuk pergi ke yang berbeza pelayan-dan-kawalan pelayan - bukan McColo - untuk arahan baru.

Sejak FireEye menjelaskan bagaimana algoritma itu berfungsi, syarikat itu mendaftarkan nama domain yang tidak dikenali, seperti "auaopagr.com," algoritma yang dihasilkan. Apabila mesin-mesin yang dilaporkan untuk bertugas, tidak ada arahan. Tetapi FireEye tidak dapat mengekalkan spammer selama-lamanya dengan membeli nama domain.

Sekarang komputer yang dikompromi menyambung ke nama domain yang didaftarkan oleh spammer dan mendapat kod terkini, termasuk template untuk kempen spam baru. Server arahan dan kawalan baru berada di Estonia dan nama domain dibeli dari pendaftar di Rusia, kata FireEye.

Srizbi pada satu masa berjumlah lebih daripada 450,000 PC, dan masih dapat dilihat berapa banyak mesin tersebut telah memperbaharui kod. Tetapi tiga botnet lain yang dikendalikan melalui McColo - Rustock, Cutwail dan Asprox - semua kelihatan juga akan kembali dalam talian.

Dmitry Samosseiko dari vendor keselamatan komputer Sophos menulis pada hari Rabu bahawa tahap spam tiba-tiba melonjak awal minggu ini,

Kesambungan McColo telah dikembalikan secara ringkas oleh kesilapan oleh TeliaSonora, dan beberapa jam yang berharga di dalam talian membenarkan penipu untuk memberitahu komputer yang dijangkiti Rustock di mana hendak mendapatkan arahan baru

Antispam vendor MessagLabs, yang baru-baru ini diperoleh oleh Symantec, tidak mencatatkan peningkatan spam yang berkaitan dengan Srizbi, kata Paul Wood, penganalisis kanan yang berpusat di pejabat UK mereka.

Wood berkata MessageLabs menganalisis spam yang berakhir di dalam peti masuk 8 juta pengguna dan mungkin bahawa Srizbi sama ada tidak mempercepat atau berubah bagaimana ia menargetkan orang.

Tetapi MessageLabs telah melihat spam dalam spam datang dari Rustock, Cutwail dan Asprox, yang akan menunjukkan mereka

"Seperti apa-apa jenis perniagaan jika kurier anda turun atau menyerang, anda akan mencari pembekal alternatif," kata Wood.

Namun, tahap spam adalah sekitar 40 peratus daripada apa yang mereka sebelum McColo turun, kata Wood.