FireEye flyttar snabbt till Quash Mega-D Botnet

Ett datasäkerhetsföretag som är känt för att slåss botnets flyttade i förra veckan för att försöka stänga av en bestående spam-spelare.

FireEye, ett Kalifornienföretag som tillverkar säkerhetsapparater, hade spårat en botnet kallad Mega -D eller Ozdok. Mega-D, som är ett nätverk av hackade datorer, har ansvarat för att skicka mer än 4 procent av världens spam, enligt M86 Security. Mega-D är en av flera botnät som har implementerat avancerade tekniska åtgärder för att säkerställa att ägarna inte förlorar kontrollen över de hackade datorerna. Hackarna använder kommando- och kontrollservrar för att utfärda instruktioner till zombie-datorerna, till exempel när man kör en spam-kampanj.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

I fallet med Mega -D, de hackade datorerna letar efter vissa domännamn för att ladda ner instruktioner, skrev Atiq Mushtaq från FireEye på företagets blogg. Om domänerna inte är aktiva stängs de ofta av Internetleverantörer om de är förknippade med övergrepp. Mega-D-maskiner kommer att leta efter egna DNS-domäner (Domain Name System) för att hitta domäner.

Om det misslyckas, Mega-D är programmerad att generera ett slumpmässigt domännamn baserat på aktuellt datum och tid, skrev Mushtaq. När hackarna registrerar domännamnet kan de smittade maskinerna besöka där för att få nya instruktioner.

Mega-Ds mekanismer för att säkerställa att den blir levande har gjort det svårt för säkerhetsföretag. "Om någon inte är tillräckligt engagerad för att förregistrera domänerna, kan bothagarna alltid komma fram och registrera domänerna och ta botnetkontrollen tillbaka", skrev Mushtaq.

FireEye började sitt angrepp, kontaktade Internetleverantörer som hade maskiner som fungerade som kommando- och kontrollservrar för Mega-D. Alla utom fyra tjänsteleverantörer stänger av anslutningar för IP-adresser som används av Mega-D, skrev Mushtaq. FireEye har också kontaktat de registratorer som kontrollerar domännamn som används för Mega-D.

Som en slutgiltig registrering registrerade FireEye de automatiskt genererade domännamnen som infekterade Mega-D-datorer skulle kontakta om maskinerna misslyckades med att nå andra kommando-och-

Mushtaq skrev på fredagen att cirka 264.784 unika IP-adresser (Internet Protocol) hade kontaktat FireEye's "sinkhole" -server eller en server som konfigurerades för att identifiera infekterade datorer.

"Data som samlats in från sinkhole-servern loggar kommer att användas för att identifiera offret maskiner, "skrev Mushtaq.

Det är hoppas att Internetleverantörer kommer att kontakta de abonnenterna och informera dem om att de behöver köra en antivirusskanning.

FireEyes ansträngningar, tillsammans med ISP: ers samarbete och registratorer, tycks ha lyckats tämja Mega-D, åtminstone tillfälligt.

På måndag visade statistik från M86 Security att Mega-D-spam nästan stannat. Vid en tidigare punkt hade M86 sett en enda Mega-D-infekterad dator skicka upp till 15 000 skräppost per timme. "Det visar tydligt att det är svårt men inte omöjligt att ta ner några av världens nästaste botnät, "Skrev Mushtaq.

Men utsättningen kanske inte håller länge. FireEye förekom Mega-D genom att registrera domäner som bots skulle leta efter, men den processen kan vara oändlig och dyr. Om FireEye slutar registrera domäner och de föräldralösa botsna, kan hackarna ladda upp ny kod till dem för att göra dem svårare att stänga av.

"Vi är osäkra hur länge vi kan följa dessa framtida domäner", skrev Mushtaq.