ผู้ส่งสแปมที่ควบคุมการใช้งาน Srizbi Botnet

คอมพิวเตอร์ที่ใช้สแปม กลับมาสู่ชีวิตอีกครั้ง

ผู้ให้บริการด้านความปลอดภัยกล่าวว่าผู้ส่งอีเมลขยะกำลังเชื่อมต่อกับคอมพิวเตอร์ที่ถูกแฮ็กเพื่อส่งสแปมโดยมีข้อความสแปมจำนวนมากขึ้นเรื่อย ๆ ในอินเทอร์เน็ตในช่วง 2-3 วันที่ผ่านมา ระดับการสแปมลดลงอย่างรวดเร็วเมื่อสองสัปดาห์ที่ผ่านมาหลังจากการหยุดทำงานของ McColo ซึ่งเป็นผู้ให้บริการอินเทอร์เน็ต (ISP) ที่โกงอยู่ในซานโฮเซ่รัฐแคลิฟอร์เนียซึ่งมีการเชื่อมต่อเพื่อควบคุมเครือข่ายคอมพิวเตอร์หลายแสนเครื่องเพื่อส่งสแปมหรือที่เรียกว่า botnet < นักวิจัยจาก FireEye กล่าวว่าคอมพิวเตอร์ที่เป็นส่วนหนึ่งของเครือข่ายบราวเซอร์ของ Srizbi ซึ่งประมาณการณ์ได้ส่งสแปมเกือบครึ่งหนึ่งไปยังโลกแล้วดูเหมือนว่าจะกลับมาใช้งานได้อีกครั้ง

[อ่านเพิ่มเติม: วิธีกำจัดมัลแวร์จากคอมพิวเตอร์ของคุณ Windows PC]

"Srizbi ได้กลับมาจากความตายและได้เริ่มปรับปรุงบอททั้งหมดด้วยไบนารีตัวใหม่ที่สดใหม่" ตามโพสต์เมื่อวันอังคารโดย Atif Mushtaq และ Alex Lanstein จาก FireEye "การอัปเดตทั่วโลกเริ่มขึ้นเมื่อไม่กี่ชั่วโมงก่อน"

คอมพิวเตอร์ของ Srizbi ถูกควบคุมโดยผู้ส่งอีเมลขยะผ่านเครือข่ายของ McColo เมื่อ McColo ถูกปิดคอมพิวเตอร์เหล่านี้พยายามโทรกลับและรับคำแนะนำใหม่ในการส่งสแปม แต่ผู้ดำเนินการ botnet จะฉลาดและสร้างวิธีที่จะทำให้เครื่องเหล่านี้กลับมาได้หากพวกเขาติดอยู่

นักวิจัยของ FireEye ทำการตรวจชันสูตรศพโดยใช้รหัสของ Srizbi พวกเขาพบว่าแฮกเกอร์ใส่อัลกอริธึมที่สร้างชื่อโดเมนซึ่งจะทำให้คอมพิวเตอร์ที่ถูกบุกรุกสามารถสร้างคำแนะนำใหม่ได้แบบไดนามิก

แฮกเกอร์สามารถลงทะเบียนชื่อโดเมนนั้นและใส่คำแนะนำเพื่อบอกให้คอมพิวเตอร์ที่ถูกบุกรุกเข้าสู่ระบบที่แตกต่างกันได้ เซิร์ฟเวอร์คำสั่งและควบคุมไม่ใช่ของ McColo - สำหรับคำแนะนำใหม่

เนื่องจาก FireEye คิดว่าอัลกอริธึมทำงานอย่างไร บริษัท จดทะเบียนชื่อโดเมนที่ไม่สามารถใช้งานได้เช่น "auaopagr.com" ที่สร้างอัลกอริธึม เมื่อเครื่องเหล่านั้นรายงานว่ามีหน้าที่ไม่มีคำแนะนำ แต่ FireEye ไม่สามารถป้องกันผู้ส่งอีเมลขยะได้ตลอดเวลาโดยการซื้อชื่อโดเมน

ขณะนี้คอมพิวเตอร์ที่ถูกบุกรุกกำลังเชื่อมต่อกับชื่อโดเมนที่ลงทะเบียนโดยผู้ส่งอีเมลขยะและรับรหัสที่อัปเดตรวมถึงเทมเพลตสำหรับแคมเปญสแปมใหม่ เซิร์ฟเวอร์คำสั่งและการควบคุมใหม่อยู่ในเอสโตเนียและชื่อโดเมนถูกซื้อจากนายทะเบียนในรัสเซีย FireEye กล่าวว่า

Srizbi ในคราวเดียวมีจำนวนมากกว่า 450,000 เครื่องและยังคงเห็นได้ว่ามีกี่แห่ง เครื่องเหล่านี้ได้รับการอัปเดตโค้ดแล้ว แต่อีก 3 botnet ที่ควบคุมโดย McColo - Rustock, Cutwail และ Asprox - ทั้งหมดนี้ดูเหมือนจะกลับมาออนไลน์อีกด้วย Dmitry Samosseiko จาก Sophos ผู้ผลิตระบบรักษาความปลอดภัยคอมพิวเตอร์ได้เขียนเมื่อวันพุธว่าระดับสแปมเพิ่มขึ้นเล็กน้อยในช่วงต้นสัปดาห์ ในส่วนของการฟื้นตัวของ Rustock botnet

การเชื่อมต่อของ McColo ได้รับการแก้ไขโดย TeliaSonora โดย TeliaSonora โดยย่อและอินเทอร์เน็ตที่มีค่าในช่วงเวลาไม่กี่ชั่วโมงนี้อนุญาตให้ผู้ส่งอีเมลขยะแจ้งให้คอมพิวเตอร์ที่ติดไวรัส Rustock เพื่อหาคำแนะนำใหม่

ผู้จัดจำหน่าย Antispam MessagLabs ซึ่งเพิ่งได้มาโดย Symantec ไม่ได้ระบุถึงการเพิ่มขึ้นของสแปมที่เกี่ยวข้องกับ Srizbi กล่าว Paul Wood นักวิเคราะห์อาวุโสจากสำนักงานในสหราชอาณาจักร Wood กล่าว MessageLabs วิเคราะห์สแปมที่ลงท้ายด้วยกล่องจดหมาย 8 ล้านเครื่อง ผู้ใช้งานและอาจเป็นว่า Srizbi ไม่สามารถปรับความเร็วได้หรือเปลี่ยนแปลงวิธีที่ผู้คนเป้าหมาย

แต่ MessageLabs ได้สังเกตเห็นการอัปยศของสแปมที่มาจาก Rustock, Cutwail และ Asprox ซึ่งจะบ่งชี้ว่า "การจัดเก็บข้อมูลของคุณลงไปหรือไปตีคุณก็หาผู้ให้บริการรายอื่นได้" Wood กล่าวว่า

ระดับสแปมอยู่ที่ประมาณ 40 เปอร์เซ็นต์ของสิ่งที่พวกเขา ก่อนที่ McColo จะลงไป Wood กล่าวว่า