Spammer erlangten Kontrolle über das Srizbi Botnet

Sicherheitsanbieter sagen, dass Spammer sich wieder mit gehackten PCs verbinden, die für das Versenden von Spam verwendet werden, was durch eine steigende Anzahl von Spam-Nachrichten belegt wird, die in den letzten Tagen im Internet kursierten. Spam-Levels sind vor zwei Wochen plötzlich nach der Schließung von McColo, einem ISP (Internet Service Provider) mit Sitz in San Jose, Kalifornien, gesunken, dessen Konnektivität zur Steuerung von Netzwerken von Hunderttausenden von Computern verwendet wurde, um Spam, sogenannte Botnets, zu senden

Computer, die Teil des Srizbi-Botnets sind - laut einigen Schätzungen nahezu die Hälfte des weltweiten Spam-Aufkommens - werden laut Forschern von FireEye offenbar wieder aktiv.

[Lesen Sie weiter: So entfernen Sie Malware aus Ihrem Windows PC]

"Srizbi ist von den Toten zurückgekehrt und hat damit begonnen, alle seine Bots mit einer neuen, neuen Binärdatei zu aktualisieren", heißt es in einem Blogbeitrag von Atif Mushtaq und Alex Lanstein von FireEye. "Das weltweite Update begann vor ein paar Stunden."

Srizbi's Computer wurden von Spammern durch McColos Netzwerk kontrolliert. Als McColo heruntergefahren wurde, versuchten diese Computer zurückzurufen und neue Anweisungen zum Senden von Spam zu erhalten. Aber die Botnet-Betreiber sind clever und haben eine Möglichkeit geschaffen, diese Maschinen zurückzubekommen, wenn sie gestrandet sind.

Die FireEye-Forscher haben im Wesentlichen eine Autopsie des Srizbi-Codes durchgeführt. Sie fanden heraus, dass die Hacker einen Algorithmus einsetzten, der dynamisch einen Domainnamen generiert, von dem ein kompromittierter Computer neue Anweisungen abrufen kann.

Die Hacker könnten dann diesen Domainnamen registrieren und Anweisungen geben, um dem kompromittierten PC mitzuteilen, dass er zu einem anderen gehen soll Command-and-Control-Server - nicht McColos - für neue Anweisungen

Da FireEye herausgefunden hat, wie der Algorithmus funktionierte, registrierte das Unternehmen die Kauderwelsch-Domainnamen wie "auaopagr.com", die dieser Algorithmus erzeugte. Wenn diese Maschinen zum Dienst meldeten, gab es keine Anweisungen. Aber FireEye konnte die Spammer durch den Kauf von Domainnamen niemals für immer hinter sich lassen.

Nun verbinden sich die kompromittierten Computer mit den von den Spammern registrierten Domainnamen und erhalten aktualisierten Code, einschließlich Vorlagen für neue Spam-Kampagnen. Die neuen Command-and-Control-Server sind in Estland und die Domain-Namen werden von einem Registrar in Russland gekauft, sagte FireEye.

Srizbi zu einer Zeit belief sich auf mehr als 450.000 PCs, und es bleibt abzuwarten, wie viele von Diese Maschinen haben den Code aktualisiert. Aber drei andere Botnets, die über McColo gesteuert wurden - Rustock, Cutwail und Asprox - scheinen ebenfalls wieder online zu sein.

Dmitry Samoseiko vom Computer-Sicherheitsanbieter Sophos schrieb am Mittwoch, dass die Spam-Levels in dieser Woche plötzlich stark ansteigen würden teilweise durch das Wiederaufleben des Rustock-Botnets.

Die Verbindung von McColo wurde von TeliaSonora aus Versehen kurzzeitig wiederhergestellt, und die wenigen Stunden im Internet erlaubten es den Spammern, den mit Rustock infizierten Computern zu erklären, wo sie neue Anweisungen finden sollten.

Antispam-Hersteller MessagLabs Laut Paul Wood, Senior Analyst mit Sitz in Großbritannien, hat Symantec, das kürzlich von Symantec übernommen wurde, keinen Anstieg des Spam-Aufkommens festgestellt.

Wood sagte, MessageLabs analysiert Spam, der in den Postfächern der 8 Millionen landet Benutzer und es kann sein, dass Srizbi entweder noch nicht auf dem neuesten Stand ist oder seine Zielgruppe geändert hat.

MessageLabs hat jedoch eine Zunahme der Spam-Mails von Rustock, Cutwail und Asprox festgestellt, die auf diese Botn hinweisen "Wie jede Art von Geschäft, wenn Ihr Kurier ausfällt oder streikt, finden Sie einen alternativen Anbieter", sagte Wood.

Immer noch sind Spam-Level rund 40 Prozent von dem, was sie tun waren, bevor McColo unterging, sagte Wood.