Shadowserver để tiếp nhận như Mega-D Botnet Herder

Các máy tính bị nhiễm là một phần của botnet có tên Ozdok hoặc Mega-D, cùng một lúc đã gửi đi khoảng 4% tin nhắn rác của thế giới.

Tuần trước, nhà cung cấp bảo mật FireEyelaunched một ổ đĩa để tháo dỡ botnet. Các máy tính bị nhiễm nhận được hướng dẫn và thông tin cho các chiến dịch spam mới thông qua các máy chủ điều khiển và lệnh. FireEye liên hệ với các nhà cung cấp mạng đã lưu trữ các máy chủ đó và hầu hết đã bị tắt.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Điều đó có nghĩa là người kiểm soát máy tính bị tấn công, được gọi là botnet herders, cann 't liên hệ với hầu hết các chương trình của họ nữa. Spam từ Mega-D gần như dừng hẳn. FireEye cũng cắt bỏ một cơ chế dự phòng thứ hai mà các chương trình được lập trình thành Mega-D.

Nếu các máy bị nhiễm không thể liên lạc với máy chủ điều khiển và lệnh, chúng sẽ được lập trình bằng thuật toán sẽ tạo ra một tên miền ngẫu nhiên và cố gắng liên hệ với tên miền đó hàng ngày. Những người chăn nuôi biết tên miền này sẽ là gì và có thể tải lên hướng dẫn mới ở đó.

Nếu những máy bị nhiễm này có hướng dẫn mới, có nghĩa là FireEye sẽ mất quyền kiểm soát và phải bắt đầu lại để thử tắt Mega-D. FireEye đã đăng ký những tên miền này để ngăn chặn những kẻ tấn công botnet lấy lại quyền kiểm soát.

Nhưng bây giờ FireEye đã kiểm soát các bot đó cho Shadowserver, một tổ chức tình nguyện chạy theo dõi botnet.

Shadowserver đã quản lý một "sinkhole", hoặc một máy tính chạy phần mềm tùy chỉnh hoạt động như một máy chủ điều khiển và lệnh mà các chương trình Mega-D sẽ gọi, Andre 'M. DiMino, người đồng sáng lập Shadowserver cho biết.

Shadowserver hiện đang ở quá trình xác định các máy tính cá nhân bị nhiễm Mega-D và sau đó liên hệ với nhà cung cấp dịch vụ cho những máy bị lây nhiễm đó. Mục đích là để các nhà cung cấp dịch vụ đó liên hệ với chủ sở hữu của những máy tính đó và yêu cầu họ chạy quét vi-rút để loại bỏ sự lây nhiễm và loại trừ Mega-D.

"Đó chắc chắn là một thách thức đối với các ISP để làm việc với mức độ người đăng ký và chúng tôi hiểu rằng, "DiMino nói. "Điều tốt nhất chúng tôi làm vào thời điểm này là nhận dạng chi tiết nhất có thể để ISP có thể giúp họ. Lý tưởng nhất là mục tiêu là dọn sạch máy bị nhiễm."

Shadowserver thường xuyên gửi một danh sách miễn phí các máy bị nhiễm tới các nhà cung cấp dịch vụ, nhưng việc xác định các máy không hề dễ dàng. Các mạng công ty thường chỉ hiển thị một địa chỉ IP bên ngoài (giao thức Internet) cho hàng trăm người dùng và các ISP sẽ gán các địa chỉ IP khác nhau cho PC khi người dùng bật và tắt máy tính của họ., ước tính có tới 500.000 máy tính trên toàn thế giới bị nhiễm Mega-D, và nó không phải là bất kỳ botnet nào lớn nhất. Ví dụ, Conficker, ước tính đã lây nhiễm tới 7 triệu máy.

Brazil có 11,5% tổng số vụ nhiễm Mega-D, tiếp theo là Ấn Độ và Việt Nam, theo blog của FireEye. DiMino cho biết Shadowserver có mối quan hệ chặt chẽ với Đội phản ứng khẩn cấp máy tính trên toàn thế giới, bao gồm cả Brazil, có thể giúp làm việc với các nhà cung cấp mạng.

Ngay cả khi Mega-D không thể bị giết hoàn toàn, "đôi khi sự gián đoạn là thực tế hơn, "DiMino nói.

" Chúng ta sẽ thấy hiệu quả là gì, "anh nói. "Ban giám khảo vẫn còn ra ngoài."