Dopo McColo Takedown, lo spam subisce di nuovo

I livelli di spam sono diminuiti di quasi la metà quando l'ISP (provider Internet) McColo è stato disconnesso a novembre. Ma alcune nuove reti bot e anche le più vecchie stanno sfornando più spam.

"Alle tariffe attuali, torneremo a quei livelli di rimozione pre-McColo probabilmente entro le prossime tre-cinque settimane", ha dichiarato Adam Swidler, senior marketing manager di prodotto per Google Message Security, noto anche come Postini.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Google ha annunciato lunedì un aumento del 156% dello spam da quando McColo è andato offline. McColo ha ospitato i cosiddetti server command-and-control per botnet che vengono utilizzati per istruire i PC a inviare spam. Le botnet includevano Rustock, Srizbi, Pushdo / Cutwail, Mega-D e Gheg.

La takedown di McColo per la maggior parte uccise la botnet di Srizbi, che fu accusata di aver inviato una gran parte dello spam del mondo. Ma altre botnet - che sono essenzialmente legioni di computer hacker configurati per inviare spam - stanno recuperando il ritardo.

Mega-D, noto anche come Ozdok, è composto da almeno 660.000 PC, secondo MessageLabs, una e -mail vestito di sicurezza ora di proprietà di Symantec. In media, i PC infettati da Mega-D inviano 589.402 messaggi al giorno sorprendenti, ovvero circa 409 al minuto. Tutto sommato, Mega-D sta inviando 38 miliardi di messaggi al giorno.

Secondo gli ultimi dati di MessageLabs pubblicati lunedì, il 74,6% di tutti i messaggi di posta elettronica è stato spam questo mese, un aumento del 4,9% rispetto a dicembre. Le percentuali di spam possono variare a seconda del pool di PC che utilizzano i loro servizi, utilizzate per raccogliere statistiche sullo spam.

"Negli ultimi due mesi abbiamo registrato un aumento costante", ha dichiarato Paul Wood, MessageLabs Intelligence Analista con Symantec.

MessageLabs ha visto lo spam cadere a circa il 58% di tutti i messaggi di posta elettronica quando McColo è andato giù, ma sale a circa il 69% a dicembre, secondo Wood.

Gli spammer stanno cambiando le loro tattiche per garantire i loro messaggi non sono bloccati, ha detto Richard Cox, CIO dell'organizzazione Spamhaus.

Quando un computer è infetto dal codice utilizzato per inviare spam, imposta un server di posta sul PC, che procede a pompare lo spam direttamente su Internet. Ma se si nota che il computer invia spam, viene aggiunto a un elenco di blocchi di intervalli di indirizzi IP (Internet Protocol) dell'utente finale che non devono inviare posta non autenticata.

In alternativa, gli spammer utilizzano programmi che rilevano un ISP della persona e quindi instradare la posta attraverso l'ISP, che evita che blocchi quando viene confrontato con l'elenco, ha detto Cox. Lo spam potrebbe essere bloccato, tuttavia, attraverso altri metodi di rilevamento e analisi in un secondo momento.

Gli ISP non sono "realmente impostati" per fermare quel tipo di abuso fino ad ora, ha detto Cox. Inoltre, molti ISP non hanno costantemente a disposizione personale addetto alla sicurezza per agire rapidamente quando viene segnalato un abuso.

Spamhaus sta monitorando quali ISP ospitano i server di comando e controllo per alcune delle attuali botnet flagranti. Cox disse che non poteva rilasciare più informazioni.

L'arresto di McColo avvenne dopo che un rapporto apparve sul Washington Post in combinazione con la pressione degli analisti della sicurezza informatica. Sebbene McColo fosse collegato a siti Web che ospitano pornografia infantile, è stata la comunità di ricercatori piuttosto che le forze dell'ordine a causare la disconnessione da Internet da parte dei fornitori a monte di McColo. Sebbene i server di McColo fossero negli Stati Uniti, le persone che credevano di eseguire l'operazione erano probabilmente all'estero.

(Robert McMillan di San Francisco ha contribuito a questo rapporto.)