Estonian ISP Pinuputol ang mga Control Server para sa Srizbi Botnet

Ang isang Estonian ISP na pansamantalang naka-host ng mga command-and-control server para sa boteng Srizbi, na responsable para sa isang malaking bahagi ng spam sa mundo, ay pinutol ang mga server na iyon, ayon sa mga analyst ng seguridad sa computer.

Starline Web Services, na nakabase sa kabisera ng Estonia na Tallinn, ay nag-host ng apat na pangalan ng domain na tinukoy bilang mga control point para sa Srizbi, ayon sa mga mananaliksik mula sa kompyuter ng seguridad ng computer na FireEye.

Daan-daang libo ng mga PC sa buong mundo na nahawaan ng Srizbi, isang mahirap na alisin ang rootkit na ginagamit para sa pagpapadala ng spam, ay na-program upang humingi ng mga bagong tagubilin mula sa mga server sa mga domain na iyon.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Srizbi ay consi dered isa sa mga mas malakas na botnets, na may hindi bababa sa 450,000 PC impeksyon. Tinatayang ang kalahati ng spam ng mundo ay nagmula sa mga computer na nahawaan ng Srizbi. Ang spam ay nananatiling isang kapaki-pakinabang na negosyo para sa mga cybercriminals.

Ngunit ang mga spammer ay nawalan ng kontrol sa Srizbi nang ang ISP na dati nang naka-host ng mga server ng command-and-control ay pinutol mula sa Internet. Ang McColo, na ang mga server ay nakabase sa San Jose, California, ay pinutol ng mga tagapagbigay ng upstream na mas maaga sa buwang ito matapos na mailantad ng mga eksperto sa seguridad sa computer at sa Washington Post.

Na nag-iwan ng mga spammer na hindi makontrol ang mga computer na na-nahawaang Srizbi. Ngunit ang code ni Srizbi ay naglalaman ng isang fallback na mekanismo kung saan ang mga spammer ay maaaring kumonekta sa mga maiiwan tayo machine kung ang isang sitwasyon ay naganap.

Ang isang algorithm sa loob ng Srizbi ay pana-panahong makabuo ng mga bagong pangalan ng domain kung saan ang malware ay maghanap ng mga bagong tagubilin kung ang mga domain na ito ay live sa Internet. Ang mga spammer, gayunpaman, ay nangangailangan ng isang bagong ISP upang i-host ang mga server na iyon, hindi bababa sa ilang sandali.

"Nasisiyahan ako na ang mga site na iyon ay sarado," sabi ni Hillar Aarelaid, punong opisyal ng seguridad para sa Computer Emergency Response Team ng Estonya (" CERT), sa Huwebes.

Ang mga pagsisikap na makipag-ugnay sa Starline Web Services ay hindi matagumpay. Ngunit sinabi ni Aarelaid na nakipagkontak ang CERT sa kumpanya, at mukhang tumutugon ito sa mga reklamo tungkol sa pang-aabuso.

Binabayaran ng Starline Web Services ang pagkakakonekta nito mula sa Compic, ibang kumpanya ng Estonya. Ang Compic ay na-flag ng CERT ng Estonia bilang pagkakaroon ng mga Web site na nagho-host ng malisyosong software, sinabi Tarmo Randel, isang eksperto sa seguridad ng impormasyon sa samahan.

Sinabi Randel na "patuloy" na naabisuhan ng CERT ang Compic tungkol sa malware na kanilang na-host. Ang kompik ay magsasagawa ng pagkilos upang alisin ang mga site depende sa "kung gaano kami malakas na hiyawan," sabi ni Randel. Ang Compic ay kadalasang tumutugon nang mabilis kapag ang CERT ay nagpadala ng isang e-mail na reklamo - at mga kopya ng Estonian Criminal Police, sinabi ni Randel.

Noong Huwebes, ang tagapagbigay ng upstream ng Compic, Linxtelecom, ay nagpadala ng isang e-mail sa komunidad ng Estonian ISP na nagsabing na nagpaplano na tanggalin ang Compic, sinabi ni Randal.

Binebenta ng Linxtelecom ang mga serbisyo ng IP transit na kumonekta sa mga lokal na ISP at mga operator ng telekomunikasyon na may mas malaking data carrier. Sinabi ni Linxtelecom sa e-mail na 99 porsiyento ng mga reklamo na natatanggap nito sa paglalabasan ay may kaugnayan sa Compic, sinabi ni Randel.

Sinabi ng opisyal ng Linxtelecom na hindi niya alam ang tungkol sa e-mail. Ang Compic ay tumutugon sa mga reklamo sa loob ng dalawang araw o higit pa, ngunit ang Linxtelecom sa nakaraan ay nagputol ng pagkakakonekta sa mga Web site na naka-host ng Compic matapos ang mga reklamo, sinabi ng opisyal.

Mga eksperto sa seguridad ng computer ay nagsasabi na mayroong isang maliit na bilang ng mga ISP at mga domain name registrar na gumana nang malapit sa mga cybercriminal upang suportahan ang mga operasyong spam, mga Web site na nagbebenta ng pekeng software at iba pang mga scam.

Ang mga operasyon ay mahirap na huminto dahil sa kanilang pang-internasyonal na kalikasan, ang bilis kung saan ang mga cybercriminals ay tumutugon sa mga shutdown at ang kakulangan ng mga mapagkukunan o interes sa pagpapatupad ng batas.

Pag-shutdown ng McColo pagkatapos na mai-publish ang pananaliksik na nagpakita kung gaano kalawak ang kumpanya sa kriminal sa ilalim ng lupa.

Gayundin, ang isa pang nabanggit na masamang ISP - na kilala bilang Atrivo o Intercage - ay pinutol ng mga tagapagbigay ng upstream sa Setyembre bunga ng pagtaas ng presyon mula sa komunidad ng seguridad sa computer. ang mga kamakailan-lamang na kaso ng McColo at Atrivo / Intercage ay kinuha mula sa Internet, magiging mas madali sa hinaharap ang pagbibigay ng higit na presyon sa iba pang mga kilala na hosters ng badware upang kumilos o pumunta offline, "sabi ni Toralv Dirro, strategist ng seguridad para sa McAfee's Avert Labs, sa Thurday.