Ботнеты вернулись в строй

    Всего две недели потребовалось владельцам спамерских ботнетов, чтобы восстановить контроль после закрытия хостинга McColo две недели назад. Эту компанию называли главным спамерским хостингом мира, через который управлялось до 75% мирового спама. Когда 13 ноября McColo закрыли, количество мусора в Сети резко снизилось примерно в два-три раза, даже в Рунете (о чём сообщала «Лаборатория Касперского»).

    Однако, на сегодняшний день спамерам удалось полностью восстановить деятельность. Во вторник возобновил активность ботнет Srizbi. Как сообщается, злоумышленникам удалось перенести серверы для управления ботнетом на другой хостинг, теперь уже в Эстонии. Название фирмы-хостера пока не сообщается.

    Дело в том, что спамеры были готовы к такому развитию событий. Специалисты, которые осуществили обратный инжиниринг троянов Srizbi, говорят, что в коде программы зашит алгоритм генерации новых доменных имён каждые три дня. Алгоритм нужен для тех случаев, если клиентская программа не может связаться с центром управления. Спамеры, разумеется, знают этот алгоритм и пытаются сразу зарегистрировать необходимые домены, через которые восстанавливают контакт с потерянными ботами.

    До сих пор антиспамерским компаниям удавалось опережать спамеров и регистрировать домены на себя. Они зарегистрировали несколько сотен доменов, но их денежные ресурсы не безграничны. В какой-то момент они остановили процесс — и через три дня спамеры уже зарегистрировали пять доменов. Таким образом, владельцам ботнета удалось установить коннект с заражёнными машинами (их около 100 000 штук), после чего они сразу обновили клиентскую версию трояна.

    Другой ботнет Rustock, который тоже действовал через McColo, возобновил работу, когда один из шведских хостингов из благих побуждений временно разместил у себя серверы McColo и подключил их к интернету. Владельцы тут же обновили клиентские версии трояна и перевели их на центр управления в России.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 80

      +28
      В Эстонии ботнет будут закрывать доо-оолго
        +3
        а судя по национальной политике бывшей республике — через пару лет они официально признают спамеров оккупантами, потом антиспамерские компании и антивирусы признают оккупантами…
        и начнут сносить памятники… ой… серверы…
          +5
          Зато у него будут такие пи-и-и-и-инги…
            0
            Его уже там нет, хостинг-провайдера у которого размещены сервера прикрыли (:
            +7
            то-то я думаю, чего это спам прекратился почти…
            за две недели, в gmail одно спам-письмо, а раньше в день больше пяти приходило…
              0
              Вы имеете ввиду в папку Spam? Или inbox? В Spam каждый день около 50, а в Inbox — 0.
                0
                именно в спам, в инбокс у меня не просачивается ничего лишнего…

                  0
                  Ясно. В инбокс раньше просачивалось парочку в день, но после custom filters — 0.

                  А где засветил не знаю ;)
                  +1
                  >> В Spam каждый день около 50

                  и надо ж было так почту светить?)
                    0
                    не знаю… s57.radikal.ru/i156/0811/80/787236c950b8.jpg
                      +1
                      Это — светить?))
                      У меня гугл в сутки около 2000 собщений отлавливает
                        0
                        регистрации на каком нибудь форуме, жж и т.п. вполне достаточно ). у самого почти две 2к спам-писем регулярно
                          0
                          какбэ везде где только можно зарегестрирован на одной почте, но со спамом тьфу-тьфу-тьфу…
                    +3
                    Вот ведь живучие заразы
                      –2
                      Я одного не пойму. Зачем? Это совсем не эффективно. Антиреклама получается.
                        +2
                        Даже при микроскопической эффективности это может приносить весьма немалые прибыли. Если интересно, почитайте архив хабры, об этом говорилось в соответствующей статье.
                          +1
                          Насчет эффективности — это и правда эффективно. Десять лет назад я работал в компании, которая использовала спам-рассылки в работе, и уверенно скажу вам следующее — даже если отправить e-mail с текстом «Привет. Я — маленькая пчелка Жу-Жу. Переведи 10р на WMZ xxxxxxxx.», то найдутся люди, которые переведум. В среднем по моей оценке на спам реагирует 1..2% получателей.
                            +3
                            Никто вам рубли на вмз не переведет (;
                          0
                          Почитайте, например, вот эту статью: www.icsi.berkeley.edu/pubs/networking/2008-ccs-spamalytics.pdf
                          Или выдержки из неё: www.schneier.com/blog/archives/2008/11/the_economics_o.html
                          Миллиардов они не зарабатывают, но бизнес не из худших (с точки зрения потока денег, я не говорю о моральной части)
                          +1
                          узнать бы следующие домены, генерируемые этим алгоритмом и можно будет перепродавать эти уже заранее зарегистрированные домены тем спамерам! =)
                            +3
                            у вас денег явно меньше чем у спамеров — подождут — зарегают новые — переведут на себя — а потом вас заддосят за киберсквотерство :))
                              0
                              А что они досить будут, домены? (;
                                0
                                ддосить они будут все что угодно с чего с ними разговаривать будут :)
                                и разве так сложно найти кого то в Сети ?:) главное желание ;)
                            +7
                            Вот я не понимаю — почему бы антивирусным компаниям не попробовать перехватывать управление над ботнетами и давать троянам команды:
                            1) Обновить софт на зараженной машине (опционально).
                            2) Самоуничтожиться.

                            Да, я понимаю что это не так просто — исходников-то нет, API по управлению — тоже. Но как-то вывести троянцев из строя — думаю все же возможно.
                              0
                              Возможно для того и скупали домены, но просто не успели расковырять API, деньги на домены кончились.
                                +6
                                «Они зарегистрировали несколько сотен доменов, но их денежные ресурсы не безграничны»
                                мде… не богатые антиспамеры…
                                +5
                                Это не выгодно, кто же будет покупать услуги платной спам фильтрации в таком случае.
                                Возникают нехорошие мысли по поводу того КТО может быть во главе этих ботнетов.
                                  +3
                                  Спам сам по себе прибыльный бизнес.
                                  Сейчас антивирусным компаниям нет нужды писать трояны, чтобы потом героически с ними бороться.
                                    +4
                                    но два выгодных бизнеса — это выгоднее, чем один выгодный бизнес :)
                                  +4
                                  Наверное все команды подписываются, а приватный ключ только у хозяев.
                                    +1
                                    Именно. Библиотек, позволяющих это делать — как грязи.
                                      0
                                      В принципе логично. В таком случае антивирусные компании, действительно, ничего сделать не могут. Жаль :(
                                        +1
                                        да и не хотят :) зачем биз себе портить
                                    +5
                                    Другой ботнет Rustock, который тоже действовал через McColo, возобновил работу, когда один из шведских хостингов из благих побуждений временно разместил у себя серверы McColo и подключил их к интернету.

                                    Ага, благие побуждения. Ну-ну.
                                    • UFO just landed and posted this here
                                      +3
                                      Неужели спам приносит так много денег, что тууда тратят так много сил! противно.
                                        +2
                                        Видать много денег приносит.
                                        В нашем мире мало что делается не ради денег :(
                                          +1
                                          возможно не столько спам, сколько средства борьбы от спама ;)
                                          +2
                                          Надо натравить на них Новикова :)
                                            +1
                                            пусть все сетки спамерские вскроет и забанит в поисковиках!
                                              +5
                                              Его сейчас держат в отдельной комнате и морят голодом, чтобы в момент очередного ддоса выпустить на спамеров :)
                                                +11
                                                Мооооскъ… свежий мооооскъ
                                                  0
                                                  Мама. Э… Не надо меня есть… Вам джава девелопер не нужен? :)
                                                    +3
                                                    Девеелопер? Большооой мооосскъ…
                                                      0
                                                      Короче я понял, завтра на В.О. мне лучше не появляться.
                                                    –1
                                                    беги кто куда!!! я не спамер!!! не я спамер!
                                                      +1
                                                      Еще девеееелопер… еще мооооскъ…
                                                        +1
                                                        и это внутренний голос хабра -)
                                                          0
                                                          Неа, нету теперь на «Хабре» голоса. Отключили.
                                                            0
                                                            Зря. Его мольбы радовали ;-)
                                                      –1
                                                      чр меня чур, в эстонию беги =)
                                                  0
                                                  Душить надо этих спам-хостеров… слов нет
                                                    0
                                                    смысла душить нет. а вот бороться да.
                                                    конкуренция рождает новые идеи и двигает прогресс.
                                                    утопия не имеет право на существование, поскольку в силу своей самодостаточности не имеет целей и стремлений кновому.

                                                    а денег спам приносит действительно много. некоторые личности могут посоперничать с бюджетом некоторых стран…
                                                      +1
                                                      На каждый хитрый центр американского английского найдется своя клофелинщица:)
                                                        0
                                                        «утопия… в силу своей самодостаточности не имеет целей и стремлений к новому»
                                                        Вы правда так думаете?
                                                          +1
                                                          да правда. может не совсем так. но то, что утопия — не нужна, это точно.

                                                          я бы первый застрелил кого нибудь — если бы все в один день стали вдруг одинаково ласковы и приветливы друг с другом. и именно одинаково. потому что это свойство утопии.

                                                          а если в утопию добавить разнообразия, то и все состовляющие криминала появятся — потому что это часть разнообразия.
                                                          и нельзя точно определить границу где наступает криминал. поэтому всему свое время, в каждое время свои преступники.

                                                          люди которые сегодня за решеткой, могут стоять завтра у власти и вы будете преступником для них и окажетесь за решеткой.
                                                          Да и вобще, вопрос был не в тему — все эти бредни про утопии — не более чем полемика и философия, а сейчас я их хотел бы засунуть глубоко подальше.
                                                            +2
                                                            Смущает меня то как вы представляете утопию. Да и не вы один… Это получается «идельный мир, где всё так плохо сделано что всем хреново», то есть никакая не утопия…
                                                              0
                                                              утопия — это идеальный мир, где всё! так безупречно сделано, что просто жопа.
                                                              это не представление, это определение понятия утопия (конечно без последней приписки про Ж. но в любом случае оно так и есть)
                                                        +2
                                                        Они так, блин, и искуссвенный разум создадут, лишь бы проспамить.
                                                          0
                                                          Пока будет существовать Интернет, пока будут сущестовать и спамеры. Я уже не представляю себе инет без кучи спама и мусора :( И победить их нереально.
                                                            +2
                                                            интересно, неужели у специалистов по IT security (которые вроде как сами все хакеры бывшие) не тянется рука взломать управление таким ботнетом, обновить его своей версией, которая сама себя сотрет? славы столько же, как банк взломать, а преследований — практически ноль

                                                            ну или просто каким нибудь УФО фрикам, которым как раз нужно высчитать, что же за сигнал отправил НЛО, а доступа к суперкомпьютеру нет

                                                            каждый раз, когда читаю такие заметки, вижу только ресурс ))
                                                              +1
                                                              :)

                                                              не подумал о том что мало стереть бот — надо еще и дырки в ОС залатать через которые оные боты поставлены? иначе ботов опять со свистом навешают? :)

                                                              тобишь принудительно миллионам пользователей апдейты безопасности поставить как минимум? и конечно-же у них при этом может что-то сломаться? :)

                                                              это не говоря о том, что защититься от такого «взлома» очень просто — если например грамотно применено ассимитричное криптование…
                                                                +1
                                                                научить ботов ставить обновления, и писать багрепорты в производителям софта, а чо…
                                                                  0
                                                                  так это ж хакер, а не Микрософт; ну поломается у кого-то, а ему-то чего? зато 10^5 машин почистит за раз. По-моему, амбициозно вполне.

                                                                  а уж насчет защиты — ну на то они и спецы, чтоб друг с другом соревноваться

                                                                  речь о том, что раньше, если ты IT security занимаешься, по потренироваться на кошках было сложно (хотя может я вообще мало в теме, хз), а щас вон пожалуйста, тебе еще и спасибо скажут, если получится

                                                                  Где там Гугл со свим списком добрых дел? Учредили бы конкурс на взлом спамерских ботнетов, с призом немаленьким )))
                                                                    0
                                                                    очевидно, это нарушает законодательство основных развитых стран. как неавторизованный доступ к компьютерным системам.
                                                                –1
                                                                двухнедельный развод по вчухиваю услуг антивирусным компаниям похоже провалился, теперь всё по старой ;)

                                                                dl.web-hack.ru/music/comp/eng/eGod-Botnet.mp3
                                                                  +1
                                                                  Чтож,… весьма интересно на этом фоне выглядит статья Шпионские страсти «Центр киберзащиты» НАТО начал формироваться в Эстонии... Делаем выводы…
                                                                    +1
                                                                    Центр киберзащиты спамеров от правосудия?
                                                                    +1
                                                                    Блииинский, а я то думаю, что за фигня, раньше в спам отваливало под 500-1000 писем в сутки, а недели полторы назад начало откидывать 100-300, а в хорошие дни в спам-папке было только 18-50 писем. А оно вон оно что.
                                                                    Я то думал рай пришёл на землю, но жестоко обломался. Хотя неделя счастья тоже радует.
                                                                    • UFO just landed and posted this here
                                                                        0
                                                                        в какой сказке живем? :) уж про ддос ботнета рассмешили, что-то мне подсказывает что там такие объемы что ничего из этого не выйдет.
                                                                          0
                                                                          Не смешите меня. Владельцы ботнетов люди обидчивые. Им завалить всех участников такой псевдодос атаки как два пальца.
                                                                            0
                                                                            Это на уровне магистральных провайдеров надо делать — нульрут или как оно там зовется )
                                                                              0
                                                                              BGP blackhole community? это от самого бота защититься не поможет. Rustok, например, управляется распределенно, так что блэкхолить нечего.
                                                                            0
                                                                            seti@home vs. spam@botnet
                                                                            0
                                                                            «обновили клиентские версии трояна и перевели их на центр управления в России. » — звучит как центр управления полетами
                                                                            • UFO just landed and posted this here
                                                                                0
                                                                                Сризби уже убит. Эстонцы побили все рекорды быстродействия.
                                                                                  0
                                                                                  Похоже, спамерский софт в последнее время глючит:

                                                                                  баг в спамерском софте
                                                                                    0
                                                                                    s/в последнее время/последнее время/

                                                                                  Only users with full accounts can post comments. Log in, please.