»Ѕ-специалисты уничтожили крупный ботнет

image

“еги: ботнет, спам, McColo

—пециалистам компании FireEye несколько дней назад удалось уничтожить ботнет Mega-D, известный также как Ozdok. Ѕотнетчикам не помогли защитные меры, предприн€тые после прошлогоднего закрыти€ провайдера McColo.

—пециалистам компании FireEye несколько дней назад удалось уничтожить ботнет Mega-D, известный также как Ozdok. Ѕотнетчикам не помогли защитные меры, предприн€тые после прошлогоднего закрыти€ провайдера McColo.

ѕредставитель FireEye јтиф ћуштак по€снил, что Ozdok был уничтожен в течение суток. ƒл€ этого компании пришлось сотрудничать с провайдерами и доменными регистраторами, что привело к блокировке IP-адресов и закрытию доменов, св€занных с контролирующими центрами ботнета. ќднако, часть контролирующих центров пока продолжают функционировать.

¬ладельцы Ozdok предприн€ли некоторые меры на случай подобных действий. ¬ частности, зомби-компьютеры пытаютс€ св€зыватьс€ с несколькими дес€тками доменных имЄн дл€ получени€ инструкций по рассылке спама. Ѕолее 25 из этих доменов ещЄ не были зарегистрированы, чем и воспользовались сотрудники FireEye, не пожалевшие средств на их регистрацию на себ€.

“ем не менее у создателей Ozdok имеетс€ и запасной план. ≈жедневно боты генерируют одно доменное им€, с которым пытаютс€ св€затьс€ в случае, если все прочие домены не отзываютс€. —пециалисты FireEye, зна€ алгоритм генерации этих имен, зарегистрировали соответствующие домены на некоторое количество дней вперЄд.

“аким образом боты Ozdok в насто€щее врем€ пытаютс€ св€зыватьс€ с сервером, который контролируетс€ FireEye. Ёто, в частности, позвол€ет грубо оценить размеры ботнета: за одни сутки было насчитано более 260 тыс€ч уникальных IP-адресов, откуда поступали запросы к перехваченному контролирующему центру.

¬ M86 Security Labs, занимающейс€ мониторингом активности ботнетов, говор€т, что уровень спама, генерирующегос€ сетью Ozdok, резко снизилс€ примерно 6 но€бр€ и вчера упал до нул€.

—тоит отметить, что еще в начале прошлого года Mega-D/Ozdok был самым крупным генератором спама, будучи ответственным примерно за треть почтового мусора в мире. — тех пор этот ботнет получил р€д серьезных ударов со стороны киберзащитников.

¬ середине феврал€ 2008 года были заблокированы его управл€ющие компьютеры, однако через дес€ть дней злоумышленники сумели вернуть контроль над этой зомби-сетью. ¬ окт€бре 2008 года ‘едеральна€ торгова€ комисси€ (FTC) убедила суд заморозить активы группы HerbalKing, контролирующей сеть Mega-D.

„ерез мес€ц был закрыт калифорнийский хостинг-провайдер McColo, чьи серверы активно использовались спамерами — в том числе и владельцами Mega-D/Ozdok. Ћетом этого года, когда Mega-D уже давно утратил былую мощь, генериру€ лишь около 12% общемирового спама, по ботнету был нанесен новый удар: FTC закрыла ещЄ одного хостинг-провайдера — 3FN.

ѕосле этого активность Mega-D/Ozdok снизилась примерно втрое и держалась на этом уровне вплоть до недавнего времени, когда специалисты† FireEye решили полностью уничтожить ботнет.


или введите им€

CAPTCHA
—траницы: 1  2  
“рололоша
11-11-2009 09:55:39
тупицы, проще было разобрать ботского бота и посмотреть, что должен ему сообщить ÷ентр ”правлени€ Ѕотнетом, чтобы он самоудалилс€ с компутера жертвы, а не регистрировать стопицот доменов а-л€ x12dasg.tk
0 |
51451
11-11-2009 10:11:27
ј слышал ли “рологоша про криптографию и Ё÷ѕ? ј то только обзыватьс€ умеет
0 |
erw
11-11-2009 10:11:35
“акой команды просто там нет. “ы что себ€ гением возомнил?
0 |
11591
11-11-2009 10:14:25
ќбычно есть... Ќу не самоудалени€, а обновлени€.. — точки зрени€ людей желающих уничтожить ботнет - никакой разницы.. ќднако пиватный ключ есть только лишь у того кто контроллирует ботнет. “ак вот...
0 |
43932
11-11-2009 10:35:15
+100500
0 |
11-11-2009 10:11:39
јга, так тебе создатели ботнетов и сделали функцию самоудалени€. ∆ги еще.
0 |
11-11-2009 10:24:44
≈сли учесть что создатели ботнета включили в функционал продвинутую защиту от уничтожени€ ботнета, то вр€д ли они оставили возможность самоудалени€ с компа именно на этот же случай. –азве что есть другой вариант: поискать у€звимости в клиенте ботнета на выполнение произвольного кода на системе и послать "самоуничтожение", но видимо такой у€звимости не нашли, раз уж пошли по методу регистрации доменов, ибо суд€ по "—пециалисты FireEye, зна€ алгоритм генерации этих имен" его всЄ-таки разбирали.
0 |
ha
11-11-2009 11:00:49
ћожет и нашли, но что бы ей воспользоватьс€, нужно послать команду боту - зарегистрировать управл€ющий домен.
0 |
19624
11-11-2009 11:03:59
поискать у€звимости в клиенте ботнета на выполнение произвольного кода“акие у€звимости есть тока в Windows
0 |
hz
11-11-2009 11:20:05
“акие у€звимости есть в программах которые пишут люди
0 |
92143
11-11-2009 10:12:35
Ќу все. “еперь все возьмут образец с конфикера и будут делать p2p botnet-ы....
0 |
777
11-11-2009 11:30:22
—водка новостей: —егодн€, после интенсивного пинг-обстрела, группа армий "√лаз-ќгонь" перешла в наступление на северном участке кибер-фронта. ¬з€то в плен 200 000 зомби, еще 300 000 расстрел€но на месте. ќборона противника прорвана, укрепрайон "ќздок" уничтожен, местное население активно сотрудничает с освободител€ми. √енштаб —пам-Ѕотов, несомненно, скоро нанесет контрудар.
0 |
11-11-2009 11:33:28
„то-то € не пон€л. ѕочему до сих пор не набежали дети, и не орут про то, что винда неу€звима, и "люба€ домохоз€йка может", и "а вот у мен€ фсио работает, „яƒЌ“"? » кстати. ј хваленые антивирусы эту заразу почему не забороли?
0 |
про-рок
11-11-2009 12:34:18
видать, детвору и прикрыли борцы с ботнетом
0 |
Punto
11-11-2009 12:47:49
ќго, пр€м сводка с полей боевых действий! “акими темпами скоро будет нешуточные войны в киберпространстве с применением киберавиации и т€желой киберартиллерии, ну и танки с морпехами повсеместно.
0 |
—траницы: 1  2