Srizbi Botnet에 대한 통제력을 회복하는 스패머

스팸 발송에 사용되는 좀비 컴퓨터는 보안 업체들은 지난 며칠 동안 스패머들이 인터넷을 통해 스팸 메시지가 늘어남에 따라 입증 된 바와 같이 스팸 발송에 사용되는 해킹 된 PC에 스패머가 다시 연결되고 있다고 말합니다. 봇넷 (botnet)이라고 불리는 스팸을 보내기 위해 수십만 대의 컴퓨터 네트워크를 제어하는 ​​연결성을 가진 캘리포니아 주 산호세에있는 가짜 ISP (인터넷 서비스 제공 업체) 인 McColo가 폐쇄 된 후 2 주 전에 스팸 수준이 급격히 떨어졌습니다.

Srizbi 봇넷에 속한 일부 컴퓨터 (전 세계 스팸 메일의 절반 가량을 일부 전송 한 것으로 추정)가 FireEye의 연구원에 따르면 다시 활성화되는 것으로 나타났습니다.

[추가 정보: 귀하의 컴퓨터에서 멀웨어를 제거하는 방법 Windows PC]

FireEye의 Atif Mushtaq와 Alex Lanstein의 화요일 블로그 게시물에 따르면 "Srizbi는 죽은 사람으로부터 돌아 왔고 신선하고 새로운 바이너리로 모든 봇을 업데이트하기 시작했습니다. "전세계 업데이트는 불과 몇 시간 전부터 시작되었습니다."Srizbi의 컴퓨터는 McColo의 네트워크를 통해 스패머들에 의해 제어되었습니다. McColo가 종료되었을 때, 그 컴퓨터는 전화를 걸어 새로운 스팸 메일 발송 지침을 얻으려고했습니다. 그러나 봇넷 운영자는 영리하며, 그들이 좌초 된 경우 해당 기계를 다시 얻을 수있는 방법을 만들었습니다.

FireEye 연구원은 기본적으로 스리 비의 코드에 대한 부검을 수행했습니다. 그들은 해커가 손상된 컴퓨터가 새로운 지침을 가져올 수있는 도메인 이름을 동적으로 생성하는 알고리즘을 넣었음을 발견했습니다.

해커는 해당 도메인 이름을 등록하고 거기에 지침을 넣어 손상된 PC에 다른

파이어 아이 (FireEye)는 알고리즘의 작동 방식을 알아 냈기 때문에 알고리즘이 생성 된 "auaopagr.com"과 같은 횡설수설 한 도메인 이름을 등록했다. 그 기계가 임무를보고했을 때 지시가 없었습니다. 그러나 FireEye는 도메인 이름을 구입하여 스패머를 영원히 배제 할 수 없었습니다.

이제 손상된 컴퓨터는 스팸 발송자가 등록한 도메인 이름에 연결하고 새로운 스팸 캠페인 템플릿을 포함하여 업데이트 된 코드를 얻습니다. 새로운 지휘 통제 서버가 에스토니아에 있고, 도메인 이름이 러시아의 등록 기관으로부터 구입되고 있다고 파이어 아이는 말했다.

한 때 Srizbi는 450,000 대 이상의 PC에 달했으며, 그 기계에는 부호가 새롭게했다. 그러나 McColo-Rustock, Cutwail 및 Asprox를 통해 통제 된 세 개의 다른 봇넷은 모두 온라인으로 다시 돌아올 것으로 보인다. 컴퓨터 보안 업체 인 Sophos의 Dmitry Samosseiko는 수요일, 스팸 수준이 이번 주 초 갑자기 급등했다 McColo의 연결성은 TeliaSonora의 실수로 잠시 복원되었으며 온라인 몇 시간 동안 온라인 스팸 발송자가 Rustock에 감염된 컴퓨터에게 새로운 지침을 제공 할 장소를 알릴 수있었습니다.

스팸 방지 업체 MessagLabs 최근 영국 시만텍에서 인수 한 Srizbi와 관련된 스팸이 증가하지 않았다고 영국 우체국의 수석 분석가 인 폴 우드 (Paul Wood)는 전했다. Wood는 MessageLabs가 8 백만 개의받은 편지함에서 끝나는 스팸을 분석했다고 말했다. 스리 비 (Srizbi)가 아직 속도를 높이지 못하거나 사람들을 어떻게 목표로 삼았는지에 따라 달라질 수 있습니다.

그러나 MessageLabs는 Rustock, Cutwail 및 Asprox에서 오는 스팸의 증가를 알아 냈습니다. Srizbi의 여유가 생겼다. "

"택배가 파손되거나 파업을 당하면 어떤 종류의 사업처럼, 다른 공급자를 찾을 수 있습니다. "라고 Wood는 말했습니다.

여전히 스팸 수준은 약 40 %입니다. McColo가 쓰러지기 전에 였다고 우드가 말했다.