Útočníci dočasně opět získali kontrolu nad botnetem Srizbi

28. 11. 2008

Sdílet

Botnet Srizbi byl vytvořen rootkitem, který lze z počítače jen obtížně odstranit. Odhaduje se, že je jím infikováno asi 450 000 PC. Aby je útočníci mohli používat k rozesílání spamu, potřebují ale server, z něhož by těmto počítačům zadávali instrukce.

Botnet Srizbi, celosvětově zřejmě největší síť pro rozesílání spamu, byl dočasně vyřazen z provozu po zásahu místního poskytovatele hostingu proti serverům kalifornské firmy McColo.

Viz také
Zásah proti botnetu snížil množství spamu na čtvrtinu

Množství spamu v globálním měřítku rázem výrazně pokleslo, ovšem jen dočasně. Útočníkům se podařilo znovu ovládnout botnet ze serverů hostovaných v Estonsku u talinské firmy Starline Web Services. Po akci místního ISP však o tuto základnu opět přišli a střet tedy pokračuje s dosud neznámým výsledkem.
Starline Web Service je malým poskytovatelem hostingu. Estonská pobočka bezpečnostního týmu CERT je přesvědčena, že poskytovatel je v celé záležitosti nevinně. Starline Web Service se jim ale nicméně nepodařilo kontaktovat a zásah musel přijít ze strany firmy Compic, která Straline poskytovala konektivitu.
Botnet Srizbi byl vytvořen rootkitem, který lze z počítače jen obtížně odstranit. Odhaduje se, že je jím infikováno asi 450 000 PC. Aby je útočníci mohli používat k rozesílání spamu, potřebují ale server, z něhož by těmto počítačům zadávali instrukce. Již dva takové ovládací servery byly v poslední době vyřazeny z činnosti, botnet je nicméně navržen tak, aby příslušný „provoz“ šel přesměrovat a počítače řídit vždy i z jiného místa - doména serveru, jehož se infikované počítače ptají na instrukce, se periodicky mění, útočníkům proto vždy pouze stačí zaregistrovat novou doménu a někde zprovoznit ovládací server. I proto se lze obávat, že současné vítězství nad spammery je opět pouze dočasné.
Společnost FireEye provedla reverzní inženýrství rootkitu a z toho dokázala určit, jaké domény se útočníci budou pokoušet užívat. V algoritmu je ale generovaných „dotazovaných“ domén obrovské množství a FireEye z toho preventivně zaregistrovala pouhých cca 100. Dále postupvat nehodlá, registrace domén přece jen něco stojí.

Zdroj: Computerworld.com

Viz také
Boti jsou dnes už ve většině podnikových sítí

Autor článku