Shadowserver overnemen als Mega-D-botnet Herder

Er wordt gewerkt aan het opruimen van tienduizenden computers die zijn geïnfecteerd met kwaadaardige software die bekendstaat om duizenden spamberichten per uur.

De geïnfecteerde computers maken deel uit van een botnet met de naam Ozdok of Mega-D, dat in één keer ongeveer 4 procent van alle spamberichten in de wereld uitzond.

Vorige week riep beveiligingsprovider FireEy een drive op om het botnet te ontmantelen. De geïnfecteerde computers ontvangen instructies en informatie voor nieuwe spam-campagnes via command-and-control-servers. FireEye nam contact op met netwerkproviders die deze servers hosten, en de meesten werden afgesloten.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Dat betekende dat de mensen die de gehackte pc's besturen, bekend als botnet-herders, niet konden Neem geen contact meer met de meeste van hun bots. Spam van Mega-D is bijna volledig gestopt. FireEye heeft ook een tweede redundantiemechanisme afgesloten dat de herders in Mega-D hebben geprogrammeerd.

Als de geïnfecteerde machines geen verbinding kunnen maken met een opdracht-en-besturingsserver, zijn ze geprogrammeerd met een algoritme dat een willekeurige domeinnaam genereert en probeer dagelijks contact op te nemen met dat domein. De herders weten wat dit domein zal zijn en kunnen daar nieuwe instructies uploaden.

Als die geïnfecteerde machines nieuwe instructies krijgen, betekent dit waarschijnlijk dat FireEye de controle verliest en opnieuw moet beginnen om Mega-D uit te schakelen. FireEye registreert deze domeinen om te voorkomen dat de botnetherders de controle terugkrijgen. Maar FireEye heeft nu de controle over die bots overgedragen aan Shadowserver, een organisatie die door vrijwilligers wordt beheerd en botnets volgt.

Shadowserver heeft de administratie van een "sinkhole" of een computer met aangepaste software die fungeert als een command-and-control-server waar de Mega-D-bots een beroep op zullen doen, zei Andre 'M. DiMino, de mede-oprichter van Shadowserver.

Shadowserver is nu in het proces van het identificeren van individuele computers die zijn geïnfecteerd met Mega-D en vervolgens contact opnemen met de serviceproviders voor die geïnfecteerde hosts. Het doel is om die serviceproviders contact te laten maken met de eigenaars van die computers en hen te vragen om een ​​antivirusscan uit te voeren om de infectie te verwijderen en Mega-D uit te schakelen.

"Het is zeker een uitdaging voor de ISP's om te werken aan de abonnementsniveau, en we begrijpen dat, "zei DiMino. "Het beste wat we op dit moment doen, is dat we de identificatie van de ISP zo goed mogelijk kunnen identificeren." Het ideale doel is om de geïnfecteerde machine op te schonen. "

Shadowserver stuurt regelmatig een gratis lijst met geïnfecteerde computers naar serviceproviders, maar het identificeren van machines is niet eenvoudig. Bedrijfsnetwerken tonen vaak slechts één extern IP-adres (internetprotocol) voor honderden gebruikers en ISP's zullen verschillende IP-adressen toewijzen aan pc's als gebruikers hun computers in- en uitschakelen, aldus DiMino.

Het kan een traag proces zijn om die computers te repareren, aangezien geschat wordt dat tot 500.000 computers over de hele wereld geïnfecteerd zijn met Mega-D en dat dit zeker niet het grootste botnet is. Conficker, bijvoorbeeld, is naar schatting tot 7 miljoen machines besmet.

Brazilië heeft 11,5 procent van de totale Mega-D-infecties, gevolgd door India en Vietnam, volgens FireEye's blog. DiMino zei dat Shadowserver een sterke band heeft met de Computer Emergency Response Teams over de hele wereld, inclusief Brazilië, wat kan helpen bij netwerkproviders.

Zelfs als Mega-D niet volledig kan worden uitgeschakeld, "is verstoring soms realistischer, "DiMino zei.

" We zullen zien wat het effect is, "zei hij. "De jury is nog steeds uit."