Spammare återhämtar kontroll över Srizbi Botnet

Zombie-datorerna skickade spam kommer tillbaka till livet.

Säkerhetsleverantörer säger att spammare återansluts med hackade datorer som används för att skicka spam, vilket framgår av ett ökande antal spammeddelanden som cirkulerar på Internet de senaste dagarna. Spamnivåerna sjönk plötsligt för två veckor sedan efter avstängningen av McColo, en rogue ISP (Internet Service Provider), baserad i San Jose, Kalifornien, vars anslutning användes för att styra nätverk av hundratusentals datorer för att skicka spam, så kallade botnets.

Datorer som ingår i Srizbi botnet - som enligt vissa uppskattningar skickat nästan hälften av världens skräppost - verkar tydligen bli aktiva igen, enligt forskare från FireEye.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows PC]

"Srizbi har återvänt från de döda och har börjat uppdatera alla sina bots med en ny, ny binär", enligt ett blogginlägg på tisdagen av Atif Mushtaq och Alex Lanstein från FireEye. "Den globala uppdateringen började för bara några timmar sedan."

Srizbis datorer styrdes av spammare via McCologos nätverk. När McColo stängdes av försökte dessa datorer ringa tillbaka och få nya instruktioner för att skicka spam. Men botnetoperatörerna är kloka och skapade ett sätt att få tillbaka dessa maskiner om de strandsatta.

FireEye-forskare gjorde i huvudsak en obduktion om Srizbi's kod. De fann att hackarna satte in en algoritm som dynamiskt genererar ett domännamn från vilket en kompromitterad dator kunde hämta nya instruktioner.

Hackarna kunde då registrera det domännamnet och lägga instruktioner där för att berätta för den kompromisserade datorn att den skulle gå till en annan Command-and-Control-servern - inte McColo's - för nya instruktioner.

Sedan FireEye funderade hur algoritmen fungerade registrerade företaget gibberiska domännamn, som "auaopagr.com", som algoritmen genererade. När dessa maskiner anmäldes till tjänst var det inga instruktioner. Men FireEye kunde inte fortsätta att spammare för alltid genom att köpa domännamn.

Nu går de kompromisserade datorerna till domännamn som registreras av spammarna och får uppdaterad kod, inklusive mallar för nya spamkampanjer. De nya kommando- och kontrollservrarna finns i Estland och domännamnen köps från en registrator i Ryssland, säger FireEye.

Srizbi på en gång uppgick till mer än 450 000 datorer och det återstår att se hur många av dessa maskiner har uppdaterad kod. Men tre andra botnät som kontrollerades via McColo - Rustock, Cutwail och Asprox - tycks också komma tillbaka online.

Dmitry Samosseiko av datasäkerhetsleverantör Sophos skrev onsdagen att spamnivåerna plötsligt ökade tidigare i veckan delvis till återuppkomsten av Rustock botnet.

McCosos anslutning återställdes av misstag av TeliaSonora och de äldsta få timmarna på nätet gjorde det möjligt för spammare att berätta för datorer infekterade med Rustock var man ska gå till nya instruktioner.

Antispam-leverantören MessagLabs, som nyligen förvärvades av Symantec, har inte noterat en ökning av spam i samband med Srizbi, säger Paul Wood, senioranalytiker baserat på sina brittiska kontor.

Wood sa MessageLabs analyserar skräppost som hamnar i inkorgen på 8 miljoner användare och det kan vara så att Srizbi inte heller är snabb eller ändrat hur det riktar sig mot människor.

Men MessageLabs har märkt en uppslag i spam som kommer från Rustock, Cutwail och Asprox, vilket skulle indikera de botn ets plockar upp Srizbi slack.

"Som någon form av verksamhet om din kurir går ner eller slår till, hittar du en alternativ leverantör," sa Wood.

Ändå är spamnivåerna cirka 40 procent av vad de var innan McColo gick ner, sa Wood.