Shadowserver para assumir o controle do Botnet Mega-D

Um esforço está em andamento para limpar dezenas de milhares de computadores infectados com software malicioso, conhecido por produzir milhares de mensagens de spam por hora.

Os computadores infectados fazem parte de uma botnet chamada Ozdok ou Mega-D, que em um momento estava enviando cerca de 4% das mensagens de spam do mundo.

Na semana passada, o fornecedor de segurança FireEyela lançou uma campanha para desmantelar o botnet. Os computadores infectados recebem instruções e informações para novas campanhas de spam por meio de servidores de comando e controle. A FireEye contatou os provedores de rede que hospedavam esses servidores, e a maioria foi desligada.

[Leia mais: Como remover malware do seu PC Windows]

Isso significava que as pessoas que controlavam os PCs hackeados, conhecidos como pastores de botnets entre em contato com a maioria de seus bots. Spam de Mega-D quase parou completamente. A FireEye também cortou um segundo mecanismo de redundância que os pastores programaram em Mega-D

Se as máquinas infectadas não puderem contatar um servidor de comando e controle, elas serão programadas com um algoritmo que gerará um nome de domínio aleatório e tente entrar em contato com esse domínio diariamente. Os criadores sabem o que este domínio será e podem enviar novas instruções para lá.

Se as máquinas infectadas receberem novas instruções, isso provavelmente significa que a FireEye perderá o controle e terá que começar tudo de novo para tentar desativar o Mega-D. A FireEye registrou esses domínios para evitar que os criadores de bots recuperem o controle.

Mas a FireEye passou o controle desses bots para o Shadowserver, uma organização administrada por voluntários que controla botnets.

Shadowserver assumiu a administração de um "sumidouro", ou um computador rodando um software personalizado que atua como um servidor de comando e controle que os robôs Mega-D chamarão, disse Andre M. DiMino, co-fundador do Shadowserver.

Shadowserver está agora em o processo de identificação de computadores individuais infectados com o Mega-D e, em seguida, entrar em contato com os provedores de serviços para esses hosts infectados. O objetivo é que esses provedores de serviços entrem em contato com os proprietários desses computadores e solicitem que eles executem uma varredura antivírus para remover a infecção e erradicar o Mega-D.

"É certamente um desafio para os provedores trabalharem até o nível de assinante, e nós entendemos isso ", disse DiMino. "O melhor que fazemos neste momento é obter a identificação mais granular possível para o ISP ajudá-los. Idealmente, o objetivo é limpar a máquina infectada."

O Shadowserver envia regularmente uma lista de máquinas infectadas para prestadores de serviços, mas a identificação de máquinas não é fácil. Muitas vezes, as redes corporativas mostram apenas um endereço IP externo (protocolo de Internet) para centenas de usuários, e os ISPs atribuem endereços IP diferentes a PCs enquanto os usuários ligam e desligam seus computadores, disse DiMino.

Consertar esses computadores pode ser um processo lento Estima-se que até 500.000 computadores em todo o mundo estejam infectados com o Mega-D e não seja de forma alguma a maior botnet. Calcula-se que o Conficker, por exemplo, tenha infectado até 7 milhões de máquinas.

O Brasil tem 11,5% do total de infecções por Mega-D, seguido pela Índia e pelo Vietnã, segundo o blog da FireEye. DiMino disse que o Shadowserver tem fortes laços com as Equipes de Resposta a Emergências do Computador em todo o mundo, incluindo o Brasil, que pode ajudar a trabalhar com provedores de rede. Mesmo que o Mega-D não seja completamente eliminado, às vezes a interrupção é mais realista "DiMino disse.

" Vamos ver qual é o efeito ", disse ele. "O júri ainda está fora."