Estse ISP schakelt besturingsservers voor Srizbi Botnet uit

Volgens een computerbeveiligingsanalist heeft een Estlandse internetprovider die tijdelijk de command-and-control-servers hostte voor het Srizbi-botnet, verantwoordelijk voor een groot deel van de spam in de wereld, deze servers afgesneden.

Starline Web Services, gevestigd in Tallinn, de hoofdstad van Estland, had vier domeinnamen gehost, geïdentificeerd als de controlepunten voor Srizbi, volgens onderzoekers van computerbeveiligingsbedrijf FireEye.

Honderdduizenden pc's overal ter wereld besmet met Srizbi, een moeilijk te verwijderen rootkit die wordt gebruikt voor het verzenden van spam, zijn geprogrammeerd om nieuwe instructies te vragen van servers in die domeinen.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Srizbi is consi één van de krachtigere botnets, met minstens 450.000 pc's geïnfecteerd. Naar schatting is de helft van de spam in de wereld afkomstig van computers die besmet zijn met Srizbi. Spam blijft een winstgevende zaak voor cybercriminelen.

Maar spammers verloren de controle over Srizbi toen de ISP die eerder zijn command-and-control-servers hosten, was afgesloten van internet. McColo, wiens servers zijn gevestigd in San Jose, Californië, werd eerder deze maand afgesloten door zijn toeleveranciers, nadat hij werd blootgesteld door computerbeveiligingsdeskundigen en de Washington Post.

Hierdoor konden spammers geen met Srizbi geïnfecteerde computers besturen. Maar de code van Srizbi bevat een terugvalmechanisme waarbij spammers opnieuw verbinding kunnen maken met de gestrande machines als een dergelijk scenario zich voordoet.

Een algoritme binnen Srizbi zou periodiek nieuwe domeinnamen genereren waar de malware nieuwe instructies zou zoeken als die domeinen live op internet zouden zijn. Gewapend met hetzelfde algoritme hoefden de spammers alleen de juiste domeinnamen te registreren en naar hun servers te verwijzen.

De spammers hadden echter een nieuwe ISP nodig om deze servers te hosten, althans voor een tijdje. Ze vonden Starline Web Services, een zeer kleine internetprovider, maar die provider heeft ze sindsdien ook afgesloten.

"Ik was tevreden dat die sites zijn gesloten", zegt Hillar Aarelaid, chief security officer voor het Computer Emergency Response Team van Estland (CERT), op donderdag.

Pogingen om contact op te nemen met Starline Web Services waren niet succesvol. Maar Aarelaid zei dat CERT contact heeft gehad met het bedrijf en dat het blijkbaar reageert op klachten over misbruik. <> Starline Web Services koopt de connectiviteit van Compic, een ander Estlands bedrijf. Compic is door Estonia CERT gemarkeerd als met websites die kwaadaardige software bevatten, zei Tarmo Randel, een informatiebeveiligingsdeskundige bij de organisatie.

Volgens Randel heeft CERT Compic "voortdurend" geïnformeerd over de malware die ze hebben gehost. Compic zal actie ondernemen om de sites te verwijderen afhankelijk van "hoe hard we schreeuwen," zei Randel. Compic reageert meestal snel wanneer CERT een klacht per e-mail stuurt - en kopieert de Estse criminele politie, zei Randel.

Op donderdag stuurde de upstream-provider van Compic, Linxtelecom, een e-mail naar de Estse internetproviders die zeiden dat ze plannen om te stoppen met Compic, zei Randal.

Linxtelecom verkoopt IP-transitdiensten die lokale ISP's en telecommunicatie-exploitanten verbinden met grotere gegevensdragers. Linxtelecom zei in de e-mail dat 99 procent van de klachten die het ontvangt over misbruik, verband houdt met Compic, zei Randel.

Een medewerker van Linxtelecom zei dat hij niets wist van de e-mail. Compic reageert binnen twee dagen op klachten, maar Linxtelecom verbrak in het verleden de connectiviteit met websites die door Compic na klachten werden gehost, aldus de functionaris.

Computerbeveiligingsexperts zeggen dat er een handvol ISP's en registrars van domeinnamen zijn werk nauw samen met cybercriminelen om spamoperaties, websites die nep-software en andere zwendel verkopen te ondersteunen.

De operaties zijn moeilijk te stoppen vanwege hun internationale aard, de snelheid waarmee cybercriminelen reageren op shutdowns en het gebrek aan wetshandhavingsbronnen of -interesse. <> McColo's shutdown kwam nadat onderzoek werd gepubliceerd waaruit bleek in hoeverre het bedrijf betrokken was in de criminele ondergrondse.

Ook een andere bekende slechte ISP - bekend als Atrivo of Intercage - werd in september afgesloten door zijn toeleveranciers als gevolg van de toenemende druk van de computerbeveiligingsgemeenschap.

"Met de recente gevallen van McColo en Atrivo / Intercage van het internet gehaald, zal het in de toekomst gemakkelijker zijn om andere bekende hosters van badware onder druk te zetten om actie te ondernemen of offline te gaan, "zei Toralv Dirro, beveiligingsstrateeg voor Avert Labs van McAfee, op Thurday.