Schattenserver als Mega-D Botnet-Herder übernehmen

Zehntausende Computer, die mit bösartiger Software infiziert sind und dafür bekannt sind, Tausende von Spam-Nachrichten pro Stunde auszutragen, werden aufgeräumt.

Die infizierten Computer sind Teil eines Botnetzes namens Ozdok oder Mega-D, das früher rund 4 Prozent der weltweiten Spam-Nachrichten verschickt hat.

Letzte Woche hat der Sicherheitsanbieter FireEyel eine Kampagne gestartet, um das Botnet zu demontieren. Die infizierten Computer erhalten Anweisungen und Informationen für neue Spam-Kampagnen über Command-and-Control-Server. FireEye kontaktierte Netzwerkanbieter, die diese Server hosten, und die meisten wurden heruntergefahren.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Das bedeutete, dass die Leute, die die gehackten PCs kontrollierten, Botnetz-Hirten, nicht konnten kontaktiere die meisten ihrer Bots nicht mehr. Spam von Mega-D stoppte fast vollständig. FireEye hat auch einen zweiten Redundanzmechanismus abgeschnitten, den die Hirten in Mega-D programmiert haben.

Wenn die infizierten Maschinen keinen Command-and-Control-Server kontaktieren können, sind sie mit einem Algorithmus programmiert, der einen zufälligen Domainnamen generiert und versuchen Sie, diese Domain täglich zu kontaktieren. Die Hirten wissen, was diese Domain sein wird und können dort neue Anweisungen hochladen.

Wenn diese infizierten Maschinen neue Anweisungen erhalten, bedeutet dies wahrscheinlich, dass FireEye die Kontrolle verliert und erneut von vorne beginnen muss, um Mega-D zu schließen. FireEye hat diese Domains registriert, um zu verhindern, dass die Botnet-Hirten die Kontrolle zurückerlangen.

Aber FireEye hat nun die Kontrolle über diese Bots an Shadowserver übergeben, eine von Freiwilligen betriebene Organisation, die Botnetze verfolgt.

Shadowserver hat die Verwaltung von ein "Sinkhole" oder ein Computer, auf dem eine benutzerdefinierte Software läuft, die als Kommando- und Kontrollserver fungiert, auf den die Mega-D-Bots zugreifen werden, sagte Andre 'M. DiMino, Mitbegründer von Shadowserver.

Shadowserver ist jetzt da die Identifizierung einzelner mit Mega-D infizierter Computer und die anschließende Kontaktaufnahme mit den Dienstanbietern für diese infizierten Hosts. Das Ziel ist es, dass diese Dienstleister die Besitzer dieser Computer kontaktieren und sie auffordern, einen Antivirus-Scan durchzuführen, um die Infektion zu beseitigen und Mega-D zu beseitigen.

"Es ist sicherlich eine Herausforderung für die ISPs, sich auf die Teilnehmerebene, und wir verstehen das ", sagte DiMino. "Das Beste, was wir an diesem Punkt tun, ist, dass wir uns so genau wie möglich identifizieren können, damit der ISP ihnen helfen kann. Idealerweise ist es das Ziel, den infizierten Computer zu bereinigen."

Shadowserver sendet regelmäßig eine kostenlose Liste infizierter Computer an Dienstleister, aber die Identifizierung von Maschinen ist nicht einfach. Unternehmensnetzwerke zeigen oft nur eine externe IP-Adresse (Internetprotokoll) für Hunderte von Benutzern an, und ISPs weisen PCs unterschiedliche Computer zu, wenn Benutzer ihre Computer ein- und ausschalten, sagte DiMino.

Die Reparatur dieser Computer könnte ein langsamer Prozess sein Es wird geschätzt, dass weltweit bis zu 500.000 Computer mit Mega-D infiziert sind, und es ist keineswegs das größte Botnetz. Conficker zum Beispiel hat schätzungsweise bis zu 7 Millionen Maschinen infiziert.

Brasilien hat laut FireEyes Blog 11,5 Prozent der gesamten Mega-D-Infektionen, gefolgt von Indien und Vietnam. DiMino sagte Shadowserver hat starke Verbindungen zu den Computer Emergency Response Teams auf der ganzen Welt, einschließlich Brasiliens, die helfen können, mit Netzwerkanbietern zu arbeiten.

Auch wenn Mega-D nicht vollständig abgetötet werden kann, "manchmal Störung ist realistischer, "DiMino sagte.

" Wir werden sehen, was der Effekt ist ", sagte er. "Die Jury ist noch nicht da."