Estnischer ISP schaltet Kontrollserver für Srizbi Botnet aus.

Ein estnischer ISP, der vorübergehend die Command-and-Control-Server für das Srizbi-Botnet gehostet hat, das für einen großen Teil des weltweiten Spam verantwortlich ist, hat diese Server abgeschnitten, so Computer-Sicherheitsanalysten.

Starline Web Services mit Sitz in der estnischen Hauptstadt Tallinn hatte laut Forschern der Computer-Sicherheitsfirma FireEye vier Domain-Namen gehostet, die als Kontrollpunkte für Srizbi identifiziert wurden.

Hunderttausende PCs auf der ganzen Welt haben sich mit Srizbi infiziert Ein schwer zu entfernendes Rootkit, das zum Versenden von Spam verwendet wird, wurde so programmiert, dass es neue Befehle von Servern in diesen Domänen sucht.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Srizbi ist konsi eines der leistungsfähigeren Botnets mit mindestens 450.000 infizierten PCs. Es wird geschätzt, dass die Hälfte des Spam weltweit von Computern stammt, die mit Srizbi infiziert sind. Spam bleibt ein profitables Geschäft für Cyberkriminelle.

Aber Spammern haben die Kontrolle über Srizbi verloren, als der ISP, der zuvor seine Command-and-Control-Server beherbergte, vom Internet abgeschnitten war. McColo, dessen Server in San Jose, Kalifornien, beheimatet sind, wurde Anfang dieses Monats von seinen Upstream-Providern von Computer-Sicherheitsexperten und der Washington Post abgeschnitten.

Dadurch konnten Spammer Srizbi-infizierte Computer nicht kontrollieren. Aber Srizbis Code enthielt einen Fallback-Mechanismus, bei dem sich Spammer wieder mit den gestrandeten Maschinen verbinden konnten.

Ein Algorithmus innerhalb von Srizbi würde regelmäßig neue Domainnamen generieren, wo die Malware nach neuen Anweisungen suchen würde, wenn diese Domains live im Internet wären. Mit diesem Algorithmus ausgestattet, mussten die Spammer nur die entsprechenden Domainnamen registrieren und auf ihre Server verweisen.

Die Spammer brauchten jedoch zumindest für eine Weile einen neuen ISP, um diese Server zu hosten. Sie fanden Starline Web Services, einen sehr kleinen ISP, aber dieser Provider hat sie seitdem auch abgeschnitten.

"Ich war zufrieden, dass diese Websites geschlossen wurden", sagte Hillar Aarelaid, Chief Security Officer für Estlands Computer Emergency Response Team (CERT), am Donnerstag.

Versuche, Starline Web Services zu kontaktieren, waren erfolglos. Aber Aarelaid sagte, dass CERT in Kontakt mit dem Unternehmen gewesen sei und anscheinend auf Beschwerden über Missbrauch reagiert.

Starline Web Services kauft seine Konnektivität bei Compic, einem anderen estnischen Unternehmen. Compic wurde vom Estnischen CERT als Webseiten mit bösartigen Software-Websites gemeldet, sagte Tarmo Randel, ein Experte für Informationssicherheit in der Organisation.

Randel sagte, CERT habe Compic "ständig" über Malware informiert, die sie gehostet haben. Compic wird Maßnahmen ergreifen, um die Seiten zu entfernen, "abhängig davon, wie laut wir schreien", sagte Randel. Compic reagiert in der Regel schnell, wenn CERT eine Beschwerde-E-Mail sendet - und kopiert die estnische Kriminalpolizei, sagte Randel.

Am Donnerstag schickte der Upstream-Provider von Compic, Linxtelecom, eine E-Mail an die estnische ISP-Community "Randal sagte, er wolle Compic ausschalten."

Linxtelecom verkauft IP-Transitdienste, die lokale ISPs und Telekommunikationsbetreiber mit größeren Datenträgern verbinden. Linxtelecom sagte in der E-Mail, dass 99 Prozent der Beschwerden, die es wegen Missbrauchs erhalte, mit Compic in Verbindung stehen, sagte Randel.

Ein Beamter von Linxtelecom sagte, er wisse nichts über die E-Mail. Compic reagiert auf Beschwerden innerhalb von zwei Tagen oder so, aber Linxtelecom in der Vergangenheit abgeschnitten Verbindung zu Websites von Compic gehostet nach Beschwerden, sagte der Beamte.

Computer-Sicherheitsexperten sagen, es gibt eine Handvoll von ISPs und Domain-Registraren eng mit Cyberkriminellen zusammenarbeiten, um Spam-Operationen zu unterstützen, Websites, die gefälschte Software und andere Betrügereien verkaufen.

Die Operationen sind aufgrund ihrer internationalen Natur, der Geschwindigkeit, mit der Cyberkriminelle auf Abschaltungen reagieren, und des Mangels an Strafverfolgungsressourcen oder -interessen schwer zu stoppen.

McColos Schließung erfolgte nach der Veröffentlichung von Forschungsarbeiten, die das Ausmaß der Beteiligung des Unternehmens zeigten im verbrecherischen Untergrund.

Ähnlich wurde ein anderer gemeldeter schlechter ISP - bekannt als Atrivo oder Intercage - von seinen vorgelagerten Versorgern im September infolge des wachsenden Drucks von der Computersicherheitsgemeinschaft abgeschnitten.

"Mit dem Die jüngsten Fälle von McColo und Atrivo / Intercage aus dem Internet entfernt, wird es in Zukunft einfacher sein, mehr Druck auf andere bekannte Hoster von Badware zu setzen, um Maßnahmen zu ergreifen oder offline zu gehen ", sagte Toralv Dirro, Sicherheitsstratege für McAfee Avert Labs Donnerstag.