FireEye se move rapidamente para anular botnet Mega-D

A FireEye, uma empresa da Califórnia que fabrica equipamentos de segurança, rastreava um botnet chamado Mega -D ou Ozdok. O Mega-D, que é uma rede de computadores hackeados, foi responsável por enviar mais de 4% do spam mundial, segundo a M86 Security. Muitos dos computadores que compõem o Mega-D são PCs domésticos infectados.

O Mega-D é um dos vários botnets que implementaram medidas técnicas avançadas para garantir que seus proprietários não percam o controle dos PCs hackeados. Os hackers usam servidores de comando e controle para emitir instruções para os PCs zumbis, como quando executar uma campanha de spam.

[Leia mais: Como remover malware do seu PC com Windows]

No caso do Mega -D, os PCs hackeados irão procurar por certos nomes de domínio para baixar instruções, escreveu Atiq Mushtaq, da FireEye, no blog da empresa. Se esses domínios não estiverem ativos - eles geralmente são desligados pelos ISPs se estiverem associados a abuso - as máquinas Mega-D procurarão por servidores DNS (Domain Name System) personalizados para encontrar domínios ativos.

também falha, o Mega-D é programado para gerar um nome de domínio aleatório baseado na data e hora atuais, escreveu Mushtaq. Quando os hackers registram o nome de domínio, as máquinas infectadas podem visitá-lo para obter novas instruções.

Os mecanismos da Mega-D para garantir que permaneçam vivos dificultaram as empresas de segurança. "A menos que alguém esteja comprometido o suficiente para pré-registrar esses domínios, os criadores de bots sempre podem se apresentar e registrar esses domínios e retomar o controle", escreveu Mushtaq.

Na quinta-feira à noite, a FireEye iniciou seu ataque, contatando ISPs que tinha máquinas atuando como servidores de comando e controle para o Mega-D. Todos, exceto quatro prestadores de serviços, desligaram conexões para endereços IP usados ​​pela Mega-D, escreveu Mushtaq. A FireEye também contatou os registradores que controlam os nomes de domínio usados ​​para o Mega-D

Como medida final, a FireEye registrou os nomes de domínio gerados automaticamente que computadores infectados com Mega-D entrariam em contato se as máquinas falhassem em alcançar outros comandos. Os nós de controle

Mushtaq escreveram na sexta-feira que cerca de 264.784 endereços IP (Internet Protocol) únicos haviam contatado o servidor "sinkhole" da FireEye ou um servidor configurado para identificar PCs infectados.

"Dados coletados do servidor sinkhole os logs serão usados ​​para identificar as máquinas da vítima ", escreveu Mushtaq.

Espera-se que os ISPs entrem em contato com esses assinantes e informem que precisam executar uma verificação antivírus.

Os esforços da FireEye, juntamente com a cooperação dos ISPs e registradores, parecem ter dominado com sucesso o Mega-D, pelo menos temporariamente.

Na segunda-feira, as estatísticas do M86 Security mostraram que o spam do Mega-D quase parou. Em um ponto anterior, o M86 viu um único computador infectado com Mega-D enviar até 15.000 mensagens de spam por hora.

"Isso mostra claramente que é difícil, mas não impossível, derrubar alguns dos botnets mais desagradáveis ​​do mundo, "Mushtaq escreveu.

Mas o alívio pode não durar muito. A FireEye estava antecipando o Mega-D ao registrar os domínios que os bots procurariam, mas esse processo pode ser interminável e caro. Se a FireEye parar de registrar domínios e os bots órfãos ligarem para casa, os hackers podem fazer upload de novos códigos para torná-los mais difíceis de serem desligados. "Não sabemos ao certo quanto tempo poderemos acompanhar esses futuros domínios", escreveu Mushtaq.