垃圾邮件发送者重新控制Srizbi僵尸网络

用来发送垃圾邮件的僵尸计算机正在重生。

安全厂商表示,垃圾邮件发送者正在重新连接用于发送垃圾邮件的被黑客入侵的PC,最近几天互联网上传播的垃圾邮件数量不断增加,证明了这一点。两周前,位于加利福尼亚州圣何塞的流氓ISP(互联网服务提供商)McColo关闭后,垃圾邮件水平突然下降,该网络的连接用于控制成千上万台计算机的网络来发送垃圾邮件,即僵尸网络。

据FireEye的研究人员称,属于Srizbi僵尸网络的计算机(据估计大约发送了全球垃圾邮件的一半)显然又重新变得活跃起来。

FireEye的Atif Mushtaq和Alex Lanstein在周二发表的博客文章中说:“ Srizbi已经从死里复活,并开始用全新的二进制文件更新其所有机器人。 “全球更新仅在几个小时前开始。”

垃圾邮件制造者通过McColo的网络控制Srizbi的计算机。当McColo关闭时,这些计算机试图回电并获得发送垃圾邮件的新指令。但是,僵尸网络操作员很聪明,他们创造了一种方法来将这些机器搁浅,让他们重新找回。

FireEye研究人员实质上对Srizbi的代码进行了尸检。他们发现,黑客采用了一种算法,该算法可以动态生成一个域名,受感染的计算机可以从该域名中获取新指令。

然后,黑客可以注册该域名,并在其中放置说明,以告知受感染的PC转到其他命令和控制服务器(而不是McColo的服务器)获取新说明。

由于FireEye知道了算法的工作原理,因此该公司注册了该算法生成的乱码域名,例如“ auaopagr.com”。这些机器报到值班时,没有任何指示。但是,FireEye无法通过购买域名来永远取代垃圾邮件制造者。

现在,受感染的计算机正在连接到垃圾邮件发送者注册的域名,并获得更新的代码,包括新垃圾邮件活动的模板。 FireEye说,新的命令和控制服务器在爱沙尼亚,并且域名是从俄罗斯的注册商那里购买的。

Srizbi一次拥有超过45万台PC,还有多少此类计算机更新了代码还有待观察。但是通过McColo控制的其他三个僵尸网络-Rustock,Cutwail和Asprox-似乎也都重新上线了。

计算机安全厂商Sophos的Dmitry Samosseiko在周三写道,本周早些时候,垃圾邮件数量突然激增,部分原因是Rustock僵尸网络的复兴。

TeliaSonora错误地短暂恢复了McColo的连接性,而宝贵的几小时在线时间使垃圾邮件发送者可以告诉感染了Rustock的计算机该在哪里获取新指令。

英国办公室高级分析师保罗·伍德说,最近被赛门铁克收购的反垃圾邮件供应商MessagLabs并未注意到与Srizbi相关的垃圾邮件数量上升。

伍德说,MessageLabs分析了最终在其800万用户的收件箱中出现的垃圾邮件,这可能是Srizbi尚未赶上速度或改变了其针对人群的方式。

但是MessageLabs已经注意到来自Rustock,Cutwail和Asprox的垃圾邮件激增,这表明这些僵尸网络正在吸收Srizbi的懈怠。

伍德说:“就像快递公司发生故障或罢工一样,您会找到另一家供应商。”

伍德说,垃圾邮件的数量仍然是McColo崩溃前的40%。

有关:

版权© 2008 IDG通讯,Inc.