Всего две недели потребовалось владельцам спамерских ботнетов, чтобы восстановить контроль после закрытия хостинга McColo две недели назад. Эту компанию называли главным спамерским хостингом мира, через который управлялось до 75% мирового спама. Когда 13 ноября McColo закрыли, количество мусора в Сети резко снизилось примерно в два-три раза, даже в Рунете (о чём сообщала «Лаборатория Касперского»).
Однако, на сегодняшний день спамерам удалось полностью восстановить деятельность. Во вторник возобновил активность ботнет Srizbi. Как сообщается, злоумышленникам удалось перенести серверы для управления ботнетом на другой хостинг, теперь уже в Эстонии. Название фирмы-хостера пока не сообщается.
Дело в том, что спамеры были готовы к такому развитию событий. Специалисты, которые осуществили обратный инжиниринг троянов Srizbi, говорят, что в коде программы зашит алгоритм генерации новых доменных имён каждые три дня. Алгоритм нужен для тех случаев, если клиентская программа не может связаться с центром управления. Спамеры, разумеется, знают этот алгоритм и пытаются сразу зарегистрировать необходимые домены, через которые восстанавливают контакт с потерянными ботами.
До сих пор антиспамерским компаниям удавалось опережать спамеров и регистрировать домены на себя. Они зарегистрировали несколько сотен доменов, но их денежные ресурсы не безграничны. В какой-то момент они остановили процесс — и через три дня спамеры уже зарегистрировали пять доменов. Таким образом, владельцам ботнета удалось установить коннект с заражёнными машинами (их около 100 000 штук), после чего они сразу обновили клиентскую версию трояна.
Другой ботнет Rustock, который тоже действовал через McColo, возобновил работу, когда один из шведских хостингов из благих побуждений временно разместил у себя серверы McColo и подключил их к интернету. Владельцы тут же обновили клиентские версии трояна и перевели их на центр управления в России.
Комментариев нет:
Отправить комментарий