Shadowserver เพื่อใช้เป็น Mega-D Botnet Herder

พยายามทำความสะอาดคอมพิวเตอร์ที่ติดเชื้อซอฟต์แวร์ที่เป็นอันตรายจำนวนหมื่นตัวซึ่งเป็นที่รู้จักสำหรับการปัดเป่าข้อความสแปมหลายพันฉบับต่อชั่วโมง

คอมพิวเตอร์ที่ติดไวรัสเป็นส่วนหนึ่งของ botnet ที่เรียกว่า Ozdok หรือ Mega-D ซึ่งมีอยู่เพียงครั้งเดียวที่ได้ส่งข้อความสแปมออกไปประมาณ 4%

สัปดาห์ที่ผ่านมาผู้ผลิตระบบรักษาความปลอดภัย FireEyelaunched ไดรฟ์เพื่อถอดลหัส botnet คอมพิวเตอร์ที่ติดไวรัสได้รับคำแนะนำและข้อมูลสำหรับแคมเปญสแปมใหม่ผ่านเซิร์ฟเวอร์คำสั่งและควบคุม FireEye ติดต่อผู้ให้บริการเครือข่ายซึ่งเป็นเจ้าภาพเซิร์ฟเวอร์เหล่านั้นและส่วนใหญ่ถูกปิด

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

นั่นหมายความว่าคนที่ควบคุมเครื่องคอมพิวเตอร์ที่ถูกแฮ็กหรือที่เรียกว่า botnet herders สามารถทำได้ 't ติดต่อมากที่สุดของบอทของพวกเขาอีกต่อไป สแปมจาก Mega-D เกือบจะหยุดลงทั้งหมด FireEye ยังตัดกลไกการทำงานสำรองที่สองออกเป็นส่วน ๆ ในโปรแกรม Mega-D

หากเครื่องที่ติดไวรัสไม่สามารถติดต่อกับเซิร์ฟเวอร์คำสั่งและควบคุมได้โปรแกรมจะใช้อัลกอริทึมที่จะสร้างชื่อโดเมนแบบสุ่มและ พยายามติดต่อโดเมนดังกล่าวทุกวัน herders รู้ว่าโดเมนนี้จะเป็นอะไรและสามารถอัพโหลดคำแนะนำใหม่ได้ที่นั่น

ถ้าเครื่องที่ติดไวรัสเหล่านี้ได้รับคำแนะนำใหม่ ๆ น่าจะหมายถึง FireEye จะสูญเสียการควบคุมและต้องเริ่มต้นอีกครั้งเพื่อลองปิด Mega-D ลง FireEye ได้ลงทะเบียนโดเมนเหล่านี้เพื่อป้องกันไม่ให้ botnet herders จากการควบคุมตัวกลับคืนมา

แต่ FireEye ได้มอบบอทเหล่านี้ให้กับ Shadowserver ซึ่งเป็นองค์กรอาสาสมัครที่ติดตามบ็อตเน็ต

Shadowserver ได้ดำเนินการบริหารจัดการ "Sinkhole" หรือคอมพิวเตอร์ที่รันซอฟต์แวร์ที่กำหนดเองซึ่งทำหน้าที่เป็นเซิร์ฟเวอร์คำสั่งและการควบคุมที่บอท Mega-D จะเรียกใช้กล่าวโดย Andre DiMino, ผู้ร่วมก่อตั้งของ Shadowserver

Shadowserver อยู่ในขณะนี้ กระบวนการในการระบุคอมพิวเตอร์แต่ละเครื่องที่ติดไวรัส Mega-D แล้วติดต่อผู้ให้บริการสำหรับโฮสต์ที่ติดไวรัสเหล่านั้น เป้าหมายคือการให้ผู้ให้บริการรายนั้นติดต่อเจ้าของคอมพิวเตอร์เหล่านั้นและขอให้พวกเขาเรียกใช้การสแกนไวรัสเพื่อลบการติดไวรัสและกำจัด Mega-D

"นี่เป็นความท้าทายสำหรับผู้ให้บริการอินเทอร์เน็ตในการทำงานลงไปที่ สมาชิกระดับและเราเข้าใจว่า "DiMino กล่าว. "สิ่งที่ดีที่สุดที่เราจะทำในตอนนี้ก็คือการให้ความสำคัญกับการระบุตัวตนของ ISP ให้มากที่สุดเท่าที่จะเป็นไปได้สำหรับ ISP เพื่อช่วยพวกเขา"

Shadowserver จะส่งรายชื่อเครื่องที่ติดไวรัสไปให้อย่างสม่ำเสมอ ผู้ให้บริการ แต่ระบุเครื่องไม่ใช่เรื่องง่าย เครือข่ายองค์กรมักจะแสดงที่อยู่ IP ภายนอก (อินเทอร์เน็ตโพรโทคอล) เพียงแห่งเดียวสำหรับผู้ใช้หลายร้อยรายและผู้ให้บริการอินเทอร์เน็ตจะกำหนดที่อยู่ IP ต่าง ๆ ให้กับเครื่องพีซีในขณะที่ผู้ใช้เปิดและปิดเครื่องคอมพิวเตอร์ของตน DiMino กล่าวว่า

การแก้ไขคอมพิวเตอร์เหล่านั้นอาจช้าลง เนื่องจากคาดว่ามีคอมพิวเตอร์ 500,000 เครื่องทั่วโลกติดเชื้อ Mega-D และไม่ใช่ botnet ที่ใหญ่ที่สุด ตัวอย่างเช่น Conficker ติดเชื้อได้ถึง 7 ล้านเครื่อง

บราซิลมีการติดเชื้อ Mega-D ร้อยละ 11.5 ตามด้วยอินเดียและเวียดนามตามบล็อกของ FireEye DiMino กล่าวว่า Shadowserver มีความผูกพันกับ Computer Emergency Response Teams ทั่วโลกรวมทั้งบราซิลซึ่งสามารถช่วยทำงานร่วมกับผู้ให้บริการเครือข่ายได้ถึงแม้ว่า Mega-D จะไม่สามารถถูกฆ่าได้อย่างสมบูรณ์ " "DiMino กล่าว"

"เราจะเห็นว่าผลกระทบคืออะไร" เขากล่าว "คณะลูกขุนยังคงออกไป"