FireEye gaat snel naar Quash Mega-D-botnet

Een computerbeveiligingsbedrijf dat bekend staat om het vechten tegen botnets, verhuisde vorige week om te proberen een persistente spamspeler af te sluiten.

FireEye, een bedrijf in Californië dat beveiligingsapparatuur maakt, had een botnet bijgehouden met de naam Mega -D of Ozdok. Mega-D, een netwerk van gehackte computers, was verantwoordelijk voor het verzenden van meer dan 4 procent van de spam in de wereld, volgens M86 Security. Veel van de computers waaruit Mega-D bestaat, zijn geïnfecteerde pc's thuis.

Mega-D is een van de vele botnets die geavanceerde technische maatregelen hebben geïmplementeerd om te zorgen dat de eigenaars de controle over de gehackte pc's niet verliezen. De hackers gebruiken command-and-control-servers om instructies aan de zombie-pc's te geven, bijvoorbeeld wanneer een spam-campagne moet worden uitgevoerd.

[Meer informatie: hoe u malware van uw Windows-pc kunt verwijderen]

In het geval van Mega -D, de gehackte pc's zullen zoeken naar bepaalde domeinnamen om instructies te downloaden, schreef Atiq Mushtaq van FireEye op de blog van het bedrijf. Als die domeinen niet actief zijn - ze worden vaak afgesloten door ISP's als ze geassocieerd worden met misbruik - zoeken Mega-D-machines naar aangepaste DNS-servers (Domain Name System) om live-domeinen te vinden.

Als dat faalt ook, Mega-D is geprogrammeerd om een ​​willekeurige domeinnaam te genereren op basis van de huidige datum en tijd, schreef Mushtaq. Wanneer de hackers de domeinnaam registreren, kunnen de geïnfecteerde machines daar terecht voor nieuwe instructies. Mega-D's mechanismen om te zorgen dat het in leven blijft hebben het moeilijk gemaakt voor beveiligingsbedrijven. "Tenzij iemand voldoende moeite doet om die domeinen vooraf te registreren, kunnen de botherders altijd naar voren komen om die domeinen te registreren en de controle over het botnet terug te nemen," schreef Mushtaq.

Als laatste maatregel registreerde FireEye de automatisch gegenereerde domeinnamen die contact maakten met Mega-D-computers als de machines andere opdracht-en-adressen niet konden bereiken. controleknooppunten. Mushtaq schreef vrijdag dat ongeveer 264.784 unieke IP-adressen (Internet Protocol) contact hadden gemaakt met FireEye's "sinkhole" -server, of een server opgezet om geïnfecteerde pc's te identificeren.

"Gegevens verzameld uit de sinkhole-server logs zullen worden gebruikt om de slachtoffermachines te identificeren, "schreef Mushtaq.

Het is te hopen dat ISP's vervolgens contact met deze abonnees zullen opnemen en hen zullen laten weten dat ze een antivirusscan moeten uitvoeren.

De inspanningen van FireEye, samen met de ISP's en registrars lijken Mega-D met succes getemd te hebben, althans tijdelijk.

Maandag lieten statistieken van M86 Security zien dat Mega-D-spam bijna was gestopt. Op een gegeven moment had M86 gezien dat een enkele Mega-D-geïnfecteerde computer maar liefst 15.000 spamberichten per uur verstuurt.

"Mushtaq schreef.

maar de uitstel kan niet lang duren. FireEye anticipeerde op Mega-D door domeinen te registreren waarnaar de bots zouden zoeken, maar dat proces kan eindeloos en duur zijn. Als FireEye stopt met het registreren van domeinen en de weesbots naar huis bellen, kunnen hackers nieuwe code naar hen uploaden om ze moeilijker te sluiten.

"We weten niet zeker hoe lang we deze toekomstige domeinen kunnen bijhouden", schreef Mushtaq..