Shadowserver da assumere come Mega-D Botnet Herder

È in corso uno sforzo per ripulire decine di migliaia di computer infettati da software dannoso noto per sfornare migliaia di messaggi di spam all'ora.

I computer infetti fanno parte di una botnet chiamata Ozdok o Mega-D, che un tempo stava inviando circa il 4% dei messaggi di spam del mondo.

La settimana scorsa, il fornitore di sicurezza FireEyelaunched un disco per smantellare la botnet. I computer infetti ricevono istruzioni e informazioni per nuove campagne di spam attraverso i server di comando e controllo. FireEye ha contattato i provider di rete che hanno ospitato quei server e molti sono stati chiusi.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Ciò significava che le persone che controllavano i PC hacker, noti come botnet herders, non potevano Non contattare più la maggior parte dei loro bot. Lo spam di Mega-D si è quasi fermato del tutto. FireEye ha anche interrotto un secondo meccanismo di ridondanza che i pastori programmavano in Mega-D.

Se le macchine infette non possono contattare un server di comando e controllo, vengono programmati con un algoritmo che genererà un nome di dominio casuale e prova a contattare quel dominio ogni giorno. I pastori sanno cosa sarà questo dominio e possono caricare nuove istruzioni lì.

Se quelle macchine infette ricevono nuove istruzioni, probabilmente FireEye perderà il controllo e dovrà ricominciare da capo per provare a chiudere Mega-D. FireEye ha registrato tali domini per impedire ai pastori di botnet di riprendere il controllo.

Ma FireEye ora ha dato il controllo di questi bot a Shadowserver, un'organizzazione gestita da volontari che monitora le botnet.

Shadowserver ha rilevato l'amministrazione di un "sinkhole" o un computer che esegue un software personalizzato che funge da server di comando e controllo che i robot Mega-D chiameranno, ha detto Andre 'M. DiMino, co-fondatore di Shadowserver.

Shadowserver è ora in il processo di identificazione dei singoli computer infettati da Mega-D e quindi contattare i fornitori di servizi per tali host infetti. L'obiettivo è quello di chiedere a quei fornitori di servizi di contattare i proprietari di quei computer e chiedere loro di eseguire una scansione antivirus per rimuovere l'infezione e sradicare Mega-D.

"È certamente una sfida per gli ISP lavorare fino al livello di abbonato, e lo capiamo ", ha detto DiMino. "Il meglio che facciamo a questo punto è molto più dettagliato nell'identificazione che l'ISP può aiutarli. Idealmente l'obiettivo è ripulire la macchina infetta."

Shadowserver invia regolarmente un elenco gratuito di macchine infette a fornitori di servizi, ma identificare le macchine non è facile. Le reti aziendali spesso mostrano solo un indirizzo IP (Internet Protocol) esterno per centinaia di utenti e gli ISP assegneranno diversi indirizzi IP ai PC quando gli utenti accendono e spengono i loro computer, ha detto DiMino.

La correzione di quei computer potrebbe essere un processo lento, poiché si stima che fino a 500.000 computer in tutto il mondo siano infetti da Mega-D e non è affatto la più grande botnet. Per esempio, Conficker ha infettato fino a 7 milioni di macchine.

Il Brasile ha l'11,5% delle infezioni Mega-D totali, seguite da India e Vietnam, secondo il blog di FireEye. DiMino ha detto che Shadowserver ha forti legami con i Computer Emergency Response Teams di tutto il mondo, incluso il Brasile, che possono aiutare a lavorare con i fornitori di rete.

Anche se il Mega-D non può essere completamente eliminato, "a volte la rottura è più realistica, "DiMino ha detto.

" Vedremo quale sarà l'effetto ", ha detto. "La giuria è ancora fuori."