Gli spammer riprendono il controllo su Srizbi Botnet

I computer zombi usati per inviare spam sono

I venditori della sicurezza dicono che gli spammer si ricollegano ai PC hacker utilizzati per inviare spam, come evidenziato da un numero crescente di messaggi spam che circolano su Internet negli ultimi giorni. I livelli di spam sono improvvisamente diminuiti due settimane fa dopo la chiusura di McColo, un ISP (Internet Service Provider) con sede a San Jose, in California, la cui connettività era utilizzata per controllare reti di centinaia di migliaia di computer per inviare spam, noti come botnet.

Secondo i ricercatori di FireEye, i computer che fanno parte della botnet di Srizbi - che secondo alcune stime hanno inviato quasi la metà dello spam mondiale - torneranno ad essere attivi,

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

"Srizbi è tornato dalla morte e ha iniziato ad aggiornare tutti i suoi bot con un nuovo, binario nuovo", secondo un post sul blog di Atif Mushtaq e Alex Lanstein di FireEye. "L'aggiornamento mondiale è iniziato solo poche ore fa."

I computer di Srizbi erano controllati da spammer attraverso la rete di McColo. Quando McColo è stato chiuso, quei computer hanno provato a richiamare e ottenere nuove istruzioni per inviare spam. Ma gli operatori di botnet sono intelligenti e hanno creato un modo per recuperare quelle macchine se fossero bloccate.

I ricercatori di FireEye hanno fatto essenzialmente un'autopsia sul codice di Srizbi. Hanno scoperto che gli hacker inseriscono un algoritmo che genera dinamicamente un nome di dominio dal quale un computer compromesso può recuperare nuove istruzioni.

Gli hacker potrebbero quindi registrare quel nome di dominio e inserire le istruzioni per dire al PC compromesso di andare a un altro server di comando e controllo - non di McColo - per nuove istruzioni.

Da quando FireEye ha capito come funzionava l'algoritmo, la società ha registrato i nomi di dominio senza senso, come "auaopagr.com", che l'algoritmo ha generato. Quando quelle macchine facevano rapporto per dovere, non c'erano istruzioni. Ma FireEye non ha potuto continuare a bloccare per sempre gli spammer comprando i nomi di dominio.

Ora i computer compromessi si collegano ai nomi di dominio registrati dagli spammer e ricevono codice aggiornato, inclusi i modelli per nuove campagne di spam. I nuovi server command-and-control sono in Estonia ei nomi di dominio sono stati acquistati da un registrar in Russia, ha detto FireEye.

Srizbi in un tempo era più di 450.000 PC, e resta da vedere quanti quelle macchine hanno un codice aggiornato. Ma altri tre botnet controllati tramite McColo - Rustock, Cutwail e Asprox - sembrano essere tornati online.

Dmitry Samosseiko del fornitore di sicurezza informatica Sophos ha scritto mercoledì che i livelli di spam sono improvvisamente aumentati all'inizio di questa settimana, a causa in parte alla rinascita della botnet Rustock.

La connettività di McColo è stata brevemente ripristinata per errore da TeliaSonora, e le preziose poche ore online consentivano agli spammer di dire ai computer infettati da Rustock dove cercare nuove istruzioni.

Venditore antispam MessagLabs, recentemente acquisita da Symantec, non ha rilevato un aumento dello spam associato a Srizbi, ha affermato Paul Wood, analista senior con sede negli uffici del Regno Unito.

Wood ha dichiarato che MessageLabs analizza lo spam che finisce nelle caselle di posta in arrivo dei suoi 8 milioni gli utenti e potrebbe essere che Srizbi non è ancora in grado di funzionare o ha cambiato il modo in cui si rivolge alle persone.

Ma MessageLabs ha notato un aumento di spam proveniente da Rustock, Cutwail e Asprox, che indicherebbe quei botn Le scommesse stanno prendendo il posto di Srizbi.

"Come ogni tipo di attività se il tuo corriere scende o fa sciopero, trovi un fornitore alternativo", ha detto Wood.

Tuttavia, i livelli di spam sono circa il 40% di quello che erano prima che McColo scendesse, disse Wood