Tvorcovia minimálne dvoch z troch veľkých botnetov, ktoré stratili svoje riadiace servery odpojením webhostingovej spoločnosti McColo od Internetu, majú problémy udržať kontrolu nad doteraz nimi ovládanými botnetmi.
Vyplýva to z informácií, ktoré od odpojenia McColo minulý týždeň v utorok zverejňuje bezpečnostná spoločnosť FireEye monitorujúca botnety Srizbi, Rustock a Mega-D.
V utorok minulého týždňa po upozornení dvoch poskytovateľov internetovej konektivity pre webhostingovú spoločnosť McColo novinami Washington Post na hostovanie serverov kontrolujúcich botnety zodpovedné za odhadom až 75% všetkého svetového spamu u spoločnosti McColo títo poskytovatelia McColo odpojili od Internetu.
Odpojenie sa výrazne prejavilo na množstve detekovaného spamu už v stredu, odkedy je podľa viacerých štatistík množstvo rozosielaného spamu globálne až o približne dve tretiny menšie ako v predchádzajúcich týždňoch.
Keďže odpojené IP adresy kontrolných serverov sú nedostupné, zombie počítače v botnetoch Srizbi, Rustock a Mega-D sa snažia vyhľadať nové kontrolné servery pomocou mechanizmov určených pre takéto prípady. Ako ale vyplýva z informácií FireEye, tvorcovia botnetov Srizbi a Rustock implementáciu týchto mechanizmov výrazne podcenili.
Vývoj zachyteného množstva spamu podľa SpamCop do dnešného dňa (graf: SpamCop)
Srizbi, botnet doteraz zodpovedný pravdepodobne za najväčšie množstvo odosielaného spamu spomedzi všetkých botnetov, hľadá nové kontrolné servery na .com doménach meniacich sa každých 36 hodín, príkladom takejto domény je pptaupya.com.
Spôsob výpočtu týchto domén sa líši pre jednotlivé mutácie bota, každá sa pripája súčasne na štyri rozličné domény. V prípade neúspechu o ďalších 36 hodín vygeneruje podľa predpísaného algoritmu ďalšiu štvoricu a takto postupuje, kým sa nepripojí na platný kontrolný server.
Tvorcovia Srizbi ale nemali tieto domény, platné pre dni po odpojení McColo, zaregistrované a pravdepodobne veľkú časť z nich, 192, si zaregistrovala spoločnosť FireEye. Do utorka 18. novembra následne kontaktovalo servery spoločnosti FireEye, na ktoré boli dané domény smerované, viac ako 450 tisíc zombie počítačov infikovaných Srizbi.
FireEye tak mala možnosť poslať botom príkazy na odinštalovanie respektíve preinštalovanie bota novým kódom. Podľa svojho oznámenia tak ale nespravila, keďže hoci s dobrým zámerom by spoločnosť spúšťala kód na cudzích PC bez autorizácie. Či podnikla spoločnosť nejaké iné technické kroky pri komunikácii s botmi, prípadne v súčinnosti s orgánmi činnými v trestnom konaní, nie je známe.
Botnet Rustock má rozličné domény určené pre získanie nových kontrolných serverov nastavené napevno v kóde, pričom sa predpokladá relatívne veľký počet mutácií. FireEye mala zaregistrovaných dvanásť takýchto domén, ktoré kontaktovali pri hľadaní nových kontrolných serveroch za dva dni boty z približne 16 tisíc rozličných IP adries.
Veľká časť mutácií botov Rustock ale podľa FireEye nemá zabudovaný žiadny mechanizmus na hľadanie nových kontrolných serverov, jediným spôsobom aktualizácie je zmena kontrolného servera príkazom po pripojení k starému kontrolnému serveru. Toto sa bohužial tvorcom Rustocka podarilo, keď McColo v sobotu získala konektivitu od veľkého telekomunikačného operátora TeliaSonera.
Po upozornení viacerými bezpečnostnými spoločnosťami TeliaSonera spoločnosť McColo približne po dvanástich hodinách odpojila, kontrolné servery Rustock ale dokázali aktualizovať neznáme percento botov pre pripájanie na nové kontrolné servery v Rusku.
Pre botnet Mega-D získala FireEye najmenej domén, na ktorých boty hľadajú nové kontrolné servery, šesť. Tieto domény kontaktovalo za niečo viac ako deň približne 15 tisíc rozličných IP.
Podľa štatistík množstva zachyteného spamu sa zatiaľ tvorcom botnetov Srizbi, Rustock a Mega-D nepodarilo obnoviť zasielanie spamu. Ako vyplýva z informácií zverejnených FireEye, bezpečnostné spoločnosti respektíve orgány činné v trestnom konaní mali v uplynulých dňoch respektíve naďalej majú možnosť znížiť počet zombie počítačov v týchto botnetoch odhadom o minimálne pol milióna až milión a zároveň tvorcovia týchto botnetov môžu mať problém obnoviť svoju kontrolu nad celými botnetmi.
Zatiaľ ale nie je známe, či boli uskutočnené nejaké definitívne kroky k rozloženiu týchto botnetov. Aj v prípade úspechu sa samozrejme predpokladá, že rozloženie týchto troch botnetov neovplyvní situáciu dlhodobo, internetové podsvetie by v takom prípade muselo ale oveľa nákladnejšie nahradiť stratené zombie počítače infikovaním nových počítačov.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
Zabezpecenie
Od reg.: BigLama
|
Pridané:
20.11.2008 18:57
Myslim ze keby vsetci mali poriadne zabezpecene PC tak by bolo ZombiePC minimum, a defacto aj menej spamu, alebo inych podobnych zalezitosti :-)
|
| |
Re: Zabezpecenie
Od: lolk
|
Pridané:
20.11.2008 21:24
hm, a mozes mi vysvetlit akou o-tak-zlozitou logikou si sa dostal k takemu prekvapivemu zaveru?
|
| |
Re: Zabezpecenie
Od reg.: BigLama
|
Pridané:
20.11.2008 23:38
Ked nemas v pocitaci bordel(trojany a inu haved), tak s neho nemas ZombiePC, jednoduche nemyslis? :D
|
| |
Re: Zabezpecenie
Od reg.: kane777
|
Pridané:
21.11.2008 0:12
odporucam doinstalovat modul "ironia"
|
| |
Re: Zabezpecenie
Od: rms
|
Pridané:
21.11.2008 14:39
hej, ale najprv je potrebne mat modul inteligencia
|
| |
Re: Zabezpecenie
Od reg.: BigLama
|
Pridané:
21.11.2008 14:48
Ja odporucam pouzivat smailov, lebo ako ma clovek vediet ci to pise nejaky debil, alebo je to myslene ironicky? :D
|
| |
Re: Zabezpecenie
Od: ___
|
Pridané:
30.11.2008 17:27
A ked som ironicky debil mam dat smajla do zatvorky?
|
| |
Re: Zabezpecenie
Od: PCnity2
|
Pridané:
21.11.2008 6:12
Staci nemat Windows...
|
| |
Re: Zabezpecenie
Od reg.: Hosak
|
Pridané:
21.11.2008 20:40
Dalsi s tych co si mylsia ze trojany a ina haved je len na win? Predpokladam ze ak si v tejto domnienke tak ten tvoj os nemas zabespeceny tj vysoka pravdepodobnost ze prave ti pises zo zombie pc,
|
| |
Re: Zabezpecenie
Od reg.: _Kozec_
|
Pridané:
22.11.2008 18:01
A nema pravdu? :)
|
| |
Re: Zabezpecenie
Od: uchyl
|
Pridané:
25.11.2008 20:05
ma..:)
|
| |
Štvrtok, 20. novembra 2008, dnes má meniny Félix, zajtra Elvíra
Od: Tom.
|
Pridané:
20.11.2008 18:58
Vynikajuci clanok.. ako keby som cital nejaky bestseller :)
|
| |
Re: Štvrtok, 20. novembra 2008, dnes má meniny Félix, zajtra Elvíra
Od: TPR500
|
Pridané:
20.11.2008 21:32
presne! ale tiez by ma zaujimalo skade maju taketo presne informacie :)
|
| |
Re: Štvrtok, 20. novembra 2008, dnes má meniny Félix, zajtra Elvíra
Od: waveeee
|
Pridané:
20.11.2008 23:30
a mna by zaujimalo co to je za spolocnost ta TeliaSonera... minimalne su to strasni dementi. ked aj citatelia dsl.sk od odpojenia McColo vedia co je to zac.. tu by som zacal čistky a nie od konca. teda žiadosťou o odinfikovanie nakazených PC. No neviem ale taketo kocurkovo nieje hadam ani vo Ficovej vláde.
|
| |
Re: Štvrtok, 20. novembra 2008, dnes má meniny Félix, zajtra Elvíra
Od: Jan Kunderr
|
Pridané:
21.11.2008 3:59
Co ak to nebola chyba/omyl?
Ale kseft - pripojte nas na 12H a my vam dame $xxx - za cenu mesacnej/rocnej (aj vyrazne viac) konektivity (stale menej, ako budeme mat naklady na vytvorenie noveho botnetu) ...
A vy (Telia) ostanete moralne cisti, nakolko nas "ihned" odpojite znovu ...
|
| |
Re: Štvrtok, 20. novembra 2008, dnes má meniny Félix, zajtra Elvíra
Od: waveeee
|
Pridané:
22.11.2008 16:46
no ved o tom hovorim.. preco ich nevysetruju.. to je nenormalny svet toto :(
|
| |
Re: Štvrtok, 20. novembra 2008, dnes má meniny Félix, zajtra Elvíra
Od: Half2
|
Pridané:
25.11.2008 17:01
Tak tak, blog.synopsi sa moze ist schovat.
BTW ked uz mali tie zombie pod kontrolov, kua mali ich odinstalovat. Su to cocoti, ze bali zakona.
|
| |
na to si prisiel sam? :-)
Od: SiMii
|
Pridané:
20.11.2008 18:59
na to si prisiel sam? :-)
|
| |
nic sa nezmeni
Od: SPX
|
Pridané:
20.11.2008 18:59
jediny nasledok to bude mat ten, ze autori budu na bodobny scenar lepsie pripraveny aby takato "chyba" uz nenastala
|
| |
.....
Od reg.: Snake :)
|
Pridané:
20.11.2008 19:22
A Microsoft len spi, spi a spi a tesi sa z toho ze 90% jeho odhadov na exploity sa podarili...
|
| |
Re: .....
Od: mariooo
|
Pridané:
20.11.2008 23:39
microsoft s tymto nema nic. Pokial uzivatel podcenuje vyhody legalneho software, pripadne nema dodrzane zakladne pravidla bezpecneho PC, tak s tym microsoft nic nenarobi. Viac medzi ludi, opytaj sa ktorehokolvek spravcu, coho vsetkeho su (L)useri schopni.
|
| |
Re: .....
Od reg.: Komentár musí byť neprázdny.
|
Pridané:
22.11.2008 13:44
OS nemoze byt legalny alebo nelegalny. Moze byt len jeho pouzivanie legalne alebo nelegalne, kedze nema platnu licenciu. Nelegalne je len detske pecko ;)
ale k teme: "legalnost" OS nema vplyv, ci je pocitac zabezpeceny alebo nie
|
| |
hmmmmmmmmmm
Od: navaho
|
Pridané:
20.11.2008 19:26
idem si aj ja odchytit nejake zombie pc kym su este volne nejake
|
| |
Re: hmmmmmmmmmm
Od: mariooo
|
Pridané:
20.11.2008 23:40
zlomit vazy :-)
|
| |
botnety
Od: trigger*
|
Pridané:
20.11.2008 20:18
len idiot si moze mysliet, ze take mnozstvo komunikacie medzi kontrolnymi servermi a napadnutymi strojmi sa da schovat. Lenze kde niet vole...
Stavim sa, ze keby mali na tych serveroch tahali torenty, tak by ich nasli uz pred rokom.
|
| |
Re: botnety
Od: Barracuda
|
Pridané:
20.11.2008 20:52
asi nemaju pravo kontrolovat co im tam prudi. Keby to boli napr e-maily tak by porusovali listove tajomstvo
|
| |
Re: botnety
Od reg.: kane777
|
Pridané:
21.11.2008 0:15
nemyslim si, stale je dost miest kam sa zasit. staci sa pozriet na tpb, ked uz o tych torrentoch hovorime.. Kolko zalob, kolko razii a stale idu dalej..
|
| |
Re: botnety
Od: ----
|
Pridané:
22.11.2008 4:39
Vo Svedsku platia ine autorske zakony a skupina okolo TPB toho vyuziva. Pozri si kopie mailov medzi drzitelmi autorskych prav a nimi, ktore maju na stranke.
|
| |
..............
Od: ja.
|
Pridané:
20.11.2008 22:30
Sa obávam, že tvorcovia budú hľadať účinnejšie metódy infikovania webstránok (okrem iného) a tým sa urýchli a zbrutálni tento nekonečný boj...
|
| |
microsoft
Od reg.: ujo horar
|
Pridané:
20.11.2008 23:07
Si predstavte ze by Microsoft vydal aktualizaciu, a tiez by sa drasticky znizilo zasielanie spamu na internete....
sen....
|
| |
Re: microsoft
Od: ja.
|
Pridané:
21.11.2008 5:56
Microsoft nie je niečoho takého schopný. Oni sú radi, keď dokážu DOS 5.0 prerobiť na Vistu a Windows 7
|
| |
Spam??
Od: rebrik
|
Pridané:
21.11.2008 9:15
O akom spame to tu kazdy hovori?
Ved podla Billa uz od roku 2006 ziaden spam neexistuje.
|
| |
Re: Spam??
Od: ----
|
Pridané:
22.11.2008 4:40
To preto, lebo Microsoft vyhlasil spam za standard.
|
| |
Re: Spam??
Od reg.: Komentár musí byť neprázdny.
|
Pridané:
22.11.2008 13:39
To nie je bug, to je feature ;)
|
| |
pokles spamu
Od reg.: John McClane
|
Pridané:
21.11.2008 9:41
aj u nas poklesol spam, linka na obrazok grafu...
http://tinyurl.com/62rxmz
|
| |
Koloběh
Od: Accuphose+
|
Pridané:
22.11.2008 3:52
Jistě celá věc je fajn, ale obávám se, že drtivá většina zombií se dostane zase pod kontrolu a to jednoduše novou infikací, protože ty lidi mnohdy ani nevědí, že je jejich pc pod kontrolou někoho jiného.
|
| |
Re: Koloběh
Od: waveee
|
Pridané:
22.11.2008 16:49
no keby to vedeli tak to nieje zombie pc ale pc debila :D
|
| |
Botnety
Od reg.: zacko
|
Pridané:
22.11.2008 22:48
Vsetky vyssie uvedene boty pouzivaju rootkit techniku maskovania svojej pritomnosti a cinnosti v systeme. Rustock je kernel rootkit, t.j. do systemu sa infiltruje vlastnym ovladacom (.sys), vdaka ktoremu ziska najvyssi stupen opravneni v systeme - ring 0, ktory ma len jadro a ovladace. Cez svoj ovladac kontroluje (zahakuje -hooking) skryje nielen svoje subory a adresare ale aj maskuje svoje beziace procesy za ine. Zaroven dokaze skryvat zaznamy v registroch a porty na ktorych nerusene komunikuje...
Ak ma niekto pocit, ze ma pocitac cisty, odporucam stiahnut si par anti-rootkitov z tejto stranky http://www.antirootkit.com/software/index.htm a dat si system oskenovat. Ak by niekolko z nich vypisalo pri spusteni alebo instalacii hlasky typu "...neviem najst kniznicu tu a tu.dll" tak tam uz rootkit mate a ten sa instalacii brani ;)
|
| |
Windows je vsade
Od: lemra
|
Pridané:
23.11.2008 1:09
Ja len tak na okraj, ze i v matrixe maju problemy s torrentami a podobne... http://www.collegehumor.com/video:1886349 (imho stoji za to tych par minut a par mega...)
|
| |
zzzzz
Od: Zzzzz
|
Pridané:
23.11.2008 22:16
:)
|
| |
zombie pc
Od: gargamel
|
Pridané:
25.11.2008 12:22
som obyčajný užívateľ pc (word, excel, net, mail atd.) nie som nejaký it odborník ani nič podobné:) mam nainštalovaný "klasický" komerčný firewall, nejaký antivírus a antispyware. Ale aj tak mam pocit, že nie je všetko ako by malo byť.. vedel by mi niekto laicky opísať ako by sa dalo zistiť, alebo ako sa prejavuje, že by som mohol byť súčasťou botnetu? ( a teraz čakam spŕšku kritiky aký som debil:), ale môj profesný záber je trošku iný ako IT... )
|
| |
Re: zombie pc
Od: uchyl
|
Pridané:
25.11.2008 20:20
Pokial je tvoj pocitac zapojeny v botnete tak tvoj pocitac z casu na cas odosle par spamov a zriedkavo sa zucastni DDoS utoku. Neriskoval by som z takehoto PC internet banking, ostatne cinnosti su v poriadku. Trapit ta to nemusi, ale ak chces mat istotu reinstaluj windows.
|
| |
::PPPP
Od: olalala
|
Pridané:
26.11.2008 16:14
windows je legalny trojan v krabici najdeme 1 cd/dvd -cko a este aj licencnu nalepku dostaneme ktomu co mozeme vylepit na nase PC aby vsetci vydeli ze sme Jhony ... este to nieje vsetko plus ktomu manual ako spravne nainstalovat do nasho noveho pocitaca nas novy legalny drahy vyrus :PPPP a ked mame to ilegalne a dostaneme obhliadku tak mozeme ist do basi na tych 8 rokov ... :)))
|
| |
Re: ::PPPP
Od: ___
|
Pridané:
30.11.2008 17:30
Aha na osobitnej skole mali zase informatiku
|
neprihlásený 
