Shadowserver tar över som Mega-D Botnet Herder

En ansträngning pågår för att städa upp tiotusentals datorer som är smittade med skadlig programvara som är kända för att churning ut tusentals spammeddelanden per timme.

De infekterade datorerna ingår i en botnät som heter Ozdok eller Mega-D, som på en gång skickade ut cirka 4 procent av världens skräppostmeddelanden.

Säkerhetsleverantören FireEyela lanserade en enhet för att demontera botnet. De infekterade datorerna får instruktioner och information för nya spamkampanjer via kommando- och kontrollservrar. FireEye kontaktade nätverksleverantörer som värd de servrarna, och de flesta stängdes av.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Det innebar att de som kontrollerade de hackade datorerna, så kallade botnetherders, inte kunde kontakta inte de flesta av sina bots längre. Spam från Mega-D stannade nästan helt. FireEye avbröt också en andra redundansmekanism för herdarna programmerade till Mega-D.

Om de infekterade maskinerna inte kan kontakta en kommando- och kontrollserver programmeras de med en algoritm som genererar ett slumpmässigt domännamn och Försök att kontakta domänen dagligen. Skyttarna vet vad den här domänen kommer att göra och kan ladda upp nya instruktioner där.

Om de infekterade maskinerna får nya instruktioner betyder det sannolikt att FireEye kommer att tappa kontrollen och måste börja om igen för att försöka stänga Mega-D ner. FireEye har registrerat de här domänerna för att förhindra botnethärdarna att återfå kontroll.

Men FireEye har nu överlämnat kontrollen över dessa bots till Shadowserver, en frivilligorganisation som spår botnät.

Shadowserver har tagit över administrationen av en "sinkhole" eller en dator som kör anpassad programvara som fungerar som en kommando- och kontrollserver som Mega-D-botsna kommer att ringa på, säger Andre 'M. DiMino, Shadowserver medgrundare.

Shadowserver är nu inne processen för att identifiera enskilda datorer infekterade med Mega-D och sedan kontakta tjänsteleverantörerna för de infekterade värdarna. Målet är att få dessa tjänsteleverantörer att kontakta ägarna till dessa datorer och be dem att köra en antivirussökning för att ta bort infektionen och utrota Mega-D.

"Det är verkligen en utmaning för Internetleverantörerna att arbeta ner till abonnentnivå, och vi förstår det, säger DiMino. "Det bästa som vi gör vid denna tidpunkt är att få så granulär identifiering som vi kan för Internetleverantören att hjälpa dem. Helst är målet att städa upp den smittade maskinen."

Shadowserver skickar regelbundet en lista över smittade maskiner till tjänsteleverantörer, men att identifiera maskiner är inte lätt. Företagsnät visar ofta bara en extern IP-adress (Internet Protocol) för hundratals användare, och Internetleverantörer kommer att tilldela olika IP-adresser till datorer, eftersom användarna slår på och stänger av sina datorer, säger DiMino.

Att fixa dessa datorer kan vara en långsam process, eftersom det uppskattas att upp till 500 000 datorer runt om i världen är infekterade med Mega-D, och det är inte på något sätt det största botnetet. Conficker, till exempel, uppskattas ha infekterat upp till 7 miljoner maskiner.

Brasilien har 11,5 procent av de totala Mega-D-infektionerna, följt av Indien och Vietnam, enligt FireEye's blogg. DiMino sa att Shadowserver har starka band med datorns nödsituationsteam runt om i världen, däribland Brasiliens, som kan hjälpa till att arbeta med nätverksleverantörer.

Även om Mega-D inte helt kan avlivas "är avbrott ibland mer realistiskt, "DiMino sa."

"" Vi ska se vad effekten är, "sa han. "Juryn är fortfarande ute."