Spammers recuperam o controle da botnet Srizbi

Computadores que fazem parte da botnet Srizbi - que, segundo algumas estimativas, enviaram quase metade do spam mundial - aparentemente estão se tornando ativos novamente, de acordo com pesquisadores da FireEye.

[Leia mais: Como remover malware de sua PC do Windows

"Srizbi voltou dos mortos e começou a atualizar todos os seus bots com um binário novo e novo", de acordo com um post no blog na terça-feira por Atif Mushtaq e Alex Lanstein da FireEye. "A atualização mundial começou há apenas algumas horas."

Os computadores da Srizbi eram controlados por spammers pela rede da McColo. Quando o McColo foi desligado, esses computadores tentaram ligar de volta e obter novas instruções para enviar spam. Mas os operadores de redes de bots são espertos e criaram uma maneira de recuperar essas máquinas se estivessem presos.

Os pesquisadores da FireEye essencialmente fizeram uma autópsia no código de Srizbi. Eles descobriram que os hackers colocam um algoritmo que gera dinamicamente um nome de domínio a partir do qual um computador comprometido pode buscar novas instruções.

Os hackers podem registrar esse nome de domínio e colocar instruções lá para dizer ao PC comprometido para ir a um diferente servidor de comando e controle - não o da McColo - para novas instruções

Como a FireEye descobriu como o algoritmo funcionava, a empresa registrou os nomes de domínio sem sentido, como "auaopagr.com", que o algoritmo gerou. Quando essas máquinas informavam para o serviço, não havia instruções. Mas a FireEye não conseguiu manter os spammers para sempre comprando nomes de domínio.

Agora os computadores comprometidos estão se conectando a nomes de domínio registrados pelos remetentes de spam e obtendo código atualizado, incluindo modelos para novas campanhas de spam. Os novos servidores de comando e controle estão na Estônia e os nomes de domínio estão sendo comprados de um registrador na Rússia, disse a FireEye.

Srizbi chegou a mais de 450.000 PCs, e ainda não se sabe quantos essas máquinas têm código atualizado. Mas três outras botnets controladas pela McColo-Rustock, Cutwail e Asprox parecem estar voltando a ser on-line. Dmitry Samosseiko, da Sophos, informou na quarta-feira que os níveis de spam subiram repentinamente no início desta semana, em parte, para o ressurgimento da botnet Rustock.

A conectividade da McColo foi brevemente restaurada por engano pela TeliaSonora, e as preciosas poucas horas on-line permitiram que os spammers dissessem aos computadores infectados com Rustock onde procurar novas instruções.

Fornecedor da Antispam MessagLabs A empresa, que foi recentemente adquirida pela Symantec, não notou um aumento no spam associado à Srizbi, disse Paul Wood, analista sênior baseado em seus escritórios no Reino Unido. usuários e pode ser que o Srizbi não esteja atualizado ou tenha mudado a forma como ele tem como alvo as pessoas.

Mas o MessageLabs notou um aumento no spam vindo do Rustock, Cutwail e Asprox, o que indicaria aqueles botn ets estão pegando a folga de Srizbi.

"Como qualquer tipo de negócio se o seu mensageiro cair ou entrar em greve, você encontra um provedor alternativo", disse Wood.

Ainda assim, os níveis de spam são em torno de 40% foram antes de McColo afundar, disse Wood.