Shadowserver가 Mega-D Botnet Herder로 자리 매김

시간당 수천 개의 스팸 메시지를 생성하는 악성 소프트웨어로 감염된 수만 대의 컴퓨터를 정리하는 노력이 진행 중입니다.

감염된 컴퓨터는 Ozdok 또는 한때 세계 스팸 메시지의 약 4 %를 보내는 메가 D (Mega-D). 지난 주 보안 업체 인 FireEyela는 봇넷을 해체 할 드라이브를 열었습니다. 감염된 컴퓨터는 명령 및 제어 서버를 통해 새로운 스팸 캠페인에 대한 지침과 정보를 수신합니다. FireEye는 해당 서버를 호스팅하는 네트워크 제공 업체에 연락했으며 대부분 종료되었습니다.

[추가 정보: Windows PC에서 맬웨어 제거 방법]

봇넷 목축업 자로 알려진 해킹 된 PC를 제어하는 ​​사람들은 더 이상 봇의 대부분과 접촉하지 않습니다. Mega-D의 스팸은 거의 완전히 중단되었습니다. FireEye는 양치기가 메가 D로 프로그래밍 한 두 번째 중복 메커니즘도 차단했습니다.

감염된 시스템이 명령 및 제어 서버에 접속할 수없는 경우 임의의 도메인 이름을 생성하는 알고리즘으로 프로그램되어 있습니다. 그 도메인에 매일 연락을 시도하십시오. 목축하는 사람들은이 도메인이 무엇인지 알며 거기에 새로운 지침을 업로드 할 수 있습니다.

감염된 시스템에 새로운 지침이 생기면 FireEye가 제어력을 잃고 다시 시작하여 메가 D를 시도하고 종료해야 함을 의미합니다. FireEye는 봇넷 목축업자가 통제권을 회복하지 못하도록 해당 도메인을 등록했습니다.

하지만 FireEye는 봇넷을 추적하는 자원 봉사 단체 인 Shadowserver에 이러한 봇의 제어권을 넘겨주었습니다.

Shadowserver는 Shadowserver의 공동 설립자 인 Andre 'M. DiMino는 "sinkhole"또는 Mega-D 봇이 호출 할 명령 및 제어 서버 역할을하는 사용자 정의 소프트웨어를 실행하는 컴퓨터에 대해 설명합니다.

Shadowserver는 현재 Mega-D에 감염된 개별 컴퓨터를 확인한 후 감염된 호스트의 서비스 공급자에게 연락하는 과정. 목표는 해당 서비스 제공 업체가 해당 컴퓨터의 소유자에게 연락하여 감염을 제거하고 메가 D를 근절하기 위해 바이러스 백신 검사를 실행하도록 요청하는 것입니다.

"ISP가 구독자 수준, 그리고 우리는 그것을 이해한다 "고 DiMino는 말했다. "현재 우리가 최선을 다하는 것은 ISP가 도움을 줄 수있는만큼 세분화되어 있습니다. 이상적으로 목표는 감염된 시스템을 정리하는 것입니다."

Shadowserver는 정기적으로 감염된 시스템의 무료 목록을 서비스 제공 업체가 있지만 기계를 식별하는 것은 쉽지 않습니다. 기업 네트워크는 수 백명의 사용자에게 하나의 외부 IP (인터넷 프로토콜) 주소만을 보여주고, 사용자가 컴퓨터를 켜고 끌 때 ISP는 다른 IP 주소를 할당 할 것이라고 DiMino는 말했다.

전 세계적으로 최대 50 만대의 컴퓨터가 메가 -D에 감염되어있는 것으로 추산되며 어떤 경우에도 가장 큰 봇넷이 아닙니다. 예를 들어 Conficker는 최대 7 백만 대의 컴퓨터를 감염시킨 것으로 추정됩니다.

브라질은 FireEye의 블로그에 따르면 메가 D 감염률의 11.5 %를 차지하고 인도와 베트남이 그 뒤를 따르고 있습니다. DiMino는 Shadowserver가 네트워크 제공 업체와 협력하는 데 도움을 줄 수있는 브라질을 포함하여 전 세계의 컴퓨터 응급 대응 팀과 긴밀한 관계를 유지하고 있다고 말했다.

Mega-D를 완전히 없앨 수는 없지만 때로는 혼란이 더 현실적이며, "디미노는 말했다.

"우리는 그 효과가 무엇인지 알 것이다 "라고 그는 말했다. "배심원 단은 아직 끝났습니다."