Estlands Internetleverantör skär av kontrollservrar för Srizbi Botnet

En estnisk internetleverantör som tillfälligt var värd för kommandot och kontrollservrarna för Srizbi botnet, som ansvarar för en stor del av världens spam, har avbrutit de servrarna, enligt datasäkerhetsanalytiker

Starline Web Services, baserat i Estlands huvudstad Tallinn, hade värd fyra domännamn som identifierades som kontrollpunkter för Srizbi, enligt forskare från datasäkerhetsfirman FireEye.

Hundratusentals PC-världen runt om i världen infekterad med Srizbi, en svåra att ta bort rootkit som används för att skicka skräppost, har programmerats för att söka nya instruktioner från servrar i dessa domäner.

[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]

Srizbi är consi avled en av de mer kraftfulla botneterna, med minst 450 000 PC-smittade. Det beräknas att hälften av världens skräppost härstammar från datorer infekterade med Srizbi. Spam är fortfarande ett lönsamt företag för cyberkriminella. Men spammare förlorade kontrollen över Srizbi när Internetleverantören som tidigare var värd för sina kommando- och kontrollservrar, avbröts från Internet. McColo, vars servrar är baserade i San Jose, Kalifornien, avbröts av dess uppströmsleverantörer tidigare denna månad efter att ha exponerats av datasäkerhetsexperter och Washington Post.

Det lämnade spammare som inte kunde kontrollera Srizbi-infekterade datorer. Men Srizbi kod innehöll en återgångsmekanism där spammare kunde återansluta med de strängade maskinerna om ett sådant scenario inträffade.

En algoritm inom Srizbi skulle periodiskt generera nya domännamn där malware skulle leta efter nya instruktioner om domänerna levde på Internet. Beväpnad med samma algoritm hade spammarna bara registrerat lämpliga domännamn och pekar dem på sina servrar.

Spammarna behövde emellertid en ny ISP som värd för dessa servrar, åtminstone ett tag. De hittade Starline Web Services, en mycket liten Internetleverantör, men den leverantören har sedan dess också avskuren dem.

"Jag var nöjd med att dessa platser stängdes", säger Hillar Aarelaid, chef säkerhetsansvarig för Estlands datorberedskapsteam CERT), på torsdag.

Försök att kontakta Starline Web Services misslyckades. Men Aarelaid sa att CERT har varit i kontakt med företaget, och det verkar vara responsivt mot klagomål om missbruk.

Starline Web Services köper sin anslutning från Compic, ett annat estniskt företag. Compic har flaggats av Estlands CERT som har webbplatser som erbjuder skadlig programvara, säger Tarmo Randel, en informationssäkerhetsexpert hos organisationen.

Randel sa att CERT har "ständigt" anmält Compic om skadlig kod de har värd. Compic kommer att vidta åtgärder för att ta bort platserna beroende på "hur högt vi skriker", sa Randel. Compic reagerar vanligtvis snabbt när CERT skickar ett klagomeddelande - och kopierar den estniska brottspolisen, säger Randel.

På torsdagen skickade Compics uppströmsleverantör Linxtelecom ett e-postmeddelande till den estniska ISP-gruppen som sa att de är planerar att avbryta Compic, säger Randal.

Linxtelecom säljer IP-transiteringstjänster som förbinder lokala Internetleverantörer och telekommunikationsoperatörer med större databärare. Linxtelecom sa i e-postmeddelandet att 99 procent av de klagomål som det mottar över missbruk är relaterade till Compic, sade Randel.

En tjänsteman från Linxtelecom sa att han inte visste om e-posten. Compic svarar på klagomål inom två dagar eller så, men Linxtelecom har i det förflutna avbrutit anslutningen till webbplatser som Hosted by Compic efter klagomål, sa tjänstemannen.

Datorsäkerhetsexperter säger att det finns en handfull Internetleverantörer och domännamnregistratorer som arbeta nära cyberkriminella för att stödja skräppostverksamhet, webbplatser som säljer falsk programvara och andra bedrägerier.

Operationerna är svåra att stoppa på grund av deras internationella karaktär, hur snabbt cyberkriminella reagerar på avstängningar och bristen på brottsbekämpande resurser eller intresse.

McColos avstängning kom efter det att forskningen publicerades vilket visade i vilken utsträckning företaget var involverat i den kriminella tunnelbanan.

På samma sätt avbröts en annan noterad dålig ISP - känd som Atrivo eller Intercage - av dess uppströmsleverantörer i september som ett resultat av ökat tryck från datasäkerhetssamhället. senaste fallen av McColo och Atrivo / Intercage tagna av Internet kommer det att vara lättare i framtiden att lägga mer press på andra kända värdar av badware att vidta åtgärder eller gå offline ", säger Toralv Dirro, säkerhetsstrateg för McAfee's Avert Labs, på Thurday.