Bezpečnostná spoločnosť sa pokúsila ochromiť veľký spamujúci botnet, zatiaľ úspešne

DSL.sk, 10.11.2009

Štvrtý najväčší spamujúci botnet Mega-D od pondelka už prakticky nerozosiela spam potom, ako sa ho pokúsila rozložiť relatívne malá bezpečnostná spoločnosť FireEye.

Po analýze fungovania botnetu známeho tiež pod označením Ozdok spoločnosť FireEye začala vo štvrtok minulého týždňa oslovovať poskytovateľov pripojenia, na sieťach ktorých sa nachádzali riadiace servery botnetu, a správcov domén, ktoré boli botnetom využívané.

Infikované počítače Mega-D botnetu kontaktujú riadiace servery na 45 v kóde bota pevne zakódovaných doménach. Ak na ani jednej nenájdu riadiaci server, pokúsia sa domény preložiť na IP adresy pomocou prednastavených útočníkom ovládaných DNS serverov.

Ak ani takto úspešne nekontaktujú riadiaci server, boty obsahujú algoritmus pre dynamické generovanie domény riadiaceho servera na základe aktuálneho dátumu.

Podľa piatkovej správy po zdokumentovanej žiadosti FireEye poskytovatelia pripojenia zablokovali všetky IP adresy využívané riadiacimi servermi botnetu alebo prednastavenými DNS servermi s výnimkou štyroch.

Zároveň bola zablokovaná časť aktívne využívaných v kóde bota prednastavených domén a spoločnosť FireEye si zaregistrovala nevyužívané prednastavené domény aj nové dynamicky denne generované domény na najbližšie dni.

Servery spoločnosti FireEye, na ktoré sú presmerované spoločnosťou zaregistrované domény používané riadiacimi servermi Mega-D, navštívilo za prvých 24 hodín viac ako 260 tisíc infikovaných PC. Nie je jasné, či aktualizácie a inštrukcie riadiacich serverov sú u botnetu Mega-D digitálne podpísané a či je tak možné infikované PC aj odvíriť, FireEye takýto krok zatiaľ neavizovala.

Podľa pondelkovej správy M86 Security Labs monitorujúcej aktivity botnetov rozosielajúcich spam boli kroky FireEye mimoriadne účinné a v pondelok sa aktivita botnetu Mega-D znížila takmer na nulu.

Mega-D bol v poslednom období podľa štatistík M86 Security Labs zodpovedný za približne 4% všetkého spamu a štvrtým v poradí za botnetom Grum zodpovedným za približne 14% spamu, Pushdo s 27% a Rustock s 32%.


Najnovšie články:



Diskusia:

botnet Od: trigger*. | Pridané: 10.11.2009 11:58 dobra praca, este tie 3 vacsie treba dat dole. Samozrejme je len otazkou kratkeho casu, ked sa objavi novy botnet. Odpovedať Známka: 9.3 Hodnotiť:

Go Space Captain FireEye, Go! Od reg.: HeleVole | Pridané: 10.11.2009 12:01 fakt super iniciativa, len tak dalej! Odpovedať Známka: 9.2 Hodnotiť:

Good job Od: Macster | Pridané: 10.11.2009 12:17 Skvela praca, toto sa mi paci :) Odpovedať Známka: 8.8 Hodnotiť:

Dan z blbosti Od reg.: Klix. | Pridané: 10.11.2009 12:25 Skvela praca! Taketo spolocnosti by mali byt financovane danou z blbosti uzivatelov, ktori maju zavirene pocitace (pretoze neaktualizuju casto nelegalne windowsy, neuznavaju/nepotrebuju/setria na antivirovych rieseniach) a su sucastami botnetov. Dan by mohla byt v podobe vyssej ceny pripojenia do Internetu. Odpovedať Známka: -1.8 Hodnotiť:

Re: Dan z blbosti Od: enx | Pridané: 10.11.2009 20:35 ty si mi ale poriadny pako Odpovedať Známka: 0.6 Hodnotiť:

bootnety Od: utok | Pridané: 10.11.2009 12:55 mali koordinovat usilie a rozlozit vsetky botnety naraz. Odpovedať Známka: 9.4 Hodnotiť:

Re: bootnety Od: b2un0 | Pridané: 11.11.2009 13:45 Tak, tak. Keď tak nad tým rozmýšľam, ak by niekedy vzniklo niečo ako Skynet, určite to nebude vládny projekt, ale agresívny botnet :) Odpovedať Známka: 10.0 Hodnotiť:

_wtf_ Od reg.: userKO | Pridané: 10.11.2009 12:57 wtf co je na tom super? ked este niekolko dnsiek nechali bezat a zaregistrovali si iba niekoko domen na par dni dopredu? za 2 tyzdne ho ma vlastnik spat. Odpovedať Známka: -5.3 Hodnotiť:

Go Space Captain Katsura, Go! Od reg.: HeleVole | Pridané: 10.11.2009 13:00 tak nam prezrad, ako by si to spravil lepsie TY? Odpovedať Známka: 9.0 Hodnotiť:

Re: _wtf_ Od reg.: romeo1987 | Pridané: 10.11.2009 13:48 tak tak, daj nejaky napapad, nejaky navrh na zlepsenie, nielen kritika...ako moj napad by som si nezakceptoval ani ja, ale keby sa v celom svete vypol prud na hodinu, tak by sme boli hodinu bez botnetu...ale to je nereal...vela gamblerov by asi zosalelo...a to neratam tych, ktori frcia na notebookoch ako ja a mame baterky...hm, tak asi vypnut prud na den... Odpovedať Známka: 6.2 Hodnotiť:

Re: _wtf_ Od: ((((((((((((((: | Pridané: 10.11.2009 14:16 vypnutm prudu vsade znicis fyzicky polku planety .. Odpovedať Známka: 10.0 Hodnotiť:

Re: _wtf_ Od: el nino | Pridané: 10.11.2009 17:13 nielen polku ale aj tango planéty.... :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: _wtf_ Od: ... | Pridané: 11.11.2009 7:29 He? A ty si odkial? Odpovedať Známka: -5.6 Hodnotiť:

..... Od: Ja. | Pridané: 11.11.2009 16:03 Čo takto skúsiť vypnúť celému Rusku elektrinu na deň? Podľa mňa by spam klesol na 0.001% súčasného stavu Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár