FireEye di chuyển nhanh để Quash Mega-D Botnet

Một công ty bảo mật máy tính được biết đến để chiến đấu với các botnet được chuyển vào tuần trước để cố gắng đóng một trình phát spam liên tục.

FireEye, một công ty của California sản xuất thiết bị an ninh, đã theo dõi một botnet tên là Mega -D hoặc Ozdok. Mega-D, một mạng lưới các máy tính bị tấn công, chịu trách nhiệm gửi hơn 4% thư rác của thế giới, theo M86 Security. Nhiều máy tính tạo nên Mega-D bị nhiễm các máy tính gia đình.

Mega-D là một trong nhiều botnet đã thực hiện các biện pháp kỹ thuật tiên tiến để đảm bảo chủ sở hữu không mất quyền kiểm soát máy tính bị tấn công. Các tin tặc sử dụng máy chủ điều khiển và lệnh để đưa ra hướng dẫn cho các máy tính zombie, chẳng hạn như khi nào chạy chiến dịch spam.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Trong trường hợp Mega -D, các máy tính bị tấn công sẽ tìm kiếm một số tên miền nhất định để tải xuống các hướng dẫn, đã viết Atiq Mushtaq của FireEye trên blog của công ty. Nếu những tên miền đó không hoạt động - chúng thường bị đóng bởi ISP nếu chúng liên quan đến lạm dụng - máy Mega-D sẽ tìm các máy chủ DNS (Hệ thống tên miền) tùy chỉnh để tìm các tên miền trực tiếp.

cũng thất bại, Mega-D được lập trình để tạo ra một tên miền ngẫu nhiên dựa trên ngày tháng và thời gian hiện tại, Mushtaq đã viết. Khi các tin tặc đăng ký tên miền, các máy bị nhiễm có thể truy cập vào đó để nhận hướng dẫn mới.

Cơ chế của Mega-D để đảm bảo nó vẫn còn sống đã gây khó khăn cho các công ty bảo mật. "Trừ khi ai đó cam kết đủ để đăng ký trước các tên miền đó, các nhà nghiên cứu bot luôn có thể tiến lên và đăng ký các tên miền đó và kiểm soát botnet", Mushtaq viết.

Thứ năm tuần trước, FireEye bắt đầu tấn công, liên hệ với ISP có các máy đóng vai trò như các máy chủ điều khiển và lệnh cho Mega-D. Tất cả trừ bốn nhà cung cấp dịch vụ đều đóng các kết nối cho các địa chỉ IP được sử dụng bởi Mega-D, Mushtaq đã viết. FireEye cũng liên lạc với nhà đăng ký kiểm soát tên miền được sử dụng cho Mega-D.

Như một biện pháp cuối cùng, FireEye đã đăng ký tên miền được tạo tự động mà máy tính Mega-D bị nhiễm sẽ liên lạc nếu máy không đạt được lệnh khác và

Mushtaq viết hôm thứ Sáu rằng một số 264.784 địa chỉ IP duy nhất (Giao thức Internet) đã liên lạc với máy chủ "sinkhole" của FireEye, hoặc một máy chủ được thiết lập để nhận dạng các máy tính bị nhiễm.

Các bản ghi sẽ được sử dụng để xác định các máy tính nạn nhân, "Mushtaq đã viết.

Hy vọng rằng các ISP sẽ liên lạc với những người đăng ký đó và thông báo cho họ rằng họ cần phải quét virus.

và đăng ký, dường như đã thuần hóa thành công Mega-D, ít nhất là tạm thời.

Thứ hai, số liệu thống kê từ M86 Security cho thấy rằng thư rác Mega-D đã gần như ngừng lại. Tại một điểm trước đó, M86 đã thấy một máy tính bị nhiễm độc Mega-D gửi tới 15.000 tin nhắn rác mỗi giờ.

"Nó cho thấy rõ ràng là khó nhưng không thể hạ được một số botnet khủng khiếp nhất thế giới, "Mushtaq đã viết.

Nhưng việc rút tiền có thể không kéo dài lâu. FireEye đã làm trống trước Mega-D bằng cách đăng ký các tên miền mà các bot sẽ tìm kiếm, nhưng quá trình đó có thể không bao giờ kết thúc và tốn kém. Nếu FireEye ngừng đăng ký tên miền và các bot mồ côi gọi về nhà, các tin tặc có thể tải lên mã mới cho họ để làm cho chúng trở nên khó khăn hơn.

"Chúng tôi không chắc chắn chúng ta có thể theo kịp các tên miền trong tương lai.".