Újra támadnak a zombiszámítógépek

Átmeneti csökkenés után újra növekszik a levélszemét-forgalom. Az FBI bő két hete lekapcsolta a legnagyobb amerikai spamterjesztő hálózatnak otthont adó McColo internetszolgáltatót, aminek hatására egyik napról a másikra eltűnt a levélszemét 75 százaléka, most azonban újraindult az áradat.

    A brit BBC-nek nyilatkozó internet-biztonságtechnikai szakértők körében nincs egyetértés arról, hogy milyen magas a spamhullám. Az IronPortSystems elemzői szerint például a McColo lekapcsolása előtti szint felénél tart a forgalom, míg a MessageLabs szakértői úgy látják, hogy már a kétharmadot is elérte a levéláradat. Annyi biztos, hogy kis szünet után megint egyre több a kéretlen email. Erről számol be a Security Fix, a The Washington Post online biztonsági blogja is, amelynek szerzői feltárták az ügyet, és sikerült elérniük, hogy a szövetségi nyomozóhatóság, az FBI bezárassa a kaliforniai internetszolgáltatót.

    A McColo ügyfelei közé tartoztak a Srizbi elnevezésű bothálózat gazdái. A bot alattomban telepített kártékony szoftver (malware), amelytől távirányított automata, "zombi" lesz a megfertőzött személyi számítógép. A Srizbi a legnagyobb hálózat, nagyjából félmillió zombigépből áll. A globális spamforgalom 40 százalékát bonyolítja, és az FBI november 11-i akciója után alig két héttel kezd újraéledezni - írja a Security Fix. A Srizbi-botokba az alkotók biztonsági utasításokat is programoztak arra az esetre, ha megszakad a kapcsolat a zombihorda pásztoraival. A zombik engedelmeskednek; véletlenszerűen kiválasztott webhelyekkel lépnek kapcsolatba programfrissítésért és újabb parancsokért. Ezt a FireEye szakértői nyomozták ki, akik meg is próbáltak a pásztorok nyomába eredni. Regisztrálták azokat az internetcímeket - domain neveket -, amelyekről azt sejtették, hogy a bot és a programozó találkahelyei. A cél az volt, hogy megelőzzék a hálózat irányítóit, és önmegsemmisítésre utasítsák a programokat.

    Probléma azonban, hogy a domainregisztrációért fizetni kell, a biztonsági programutasításnak - egy matematikai algoritmusnak - pedig több mint ötven változata van, amelyek mind más-más webhelyekre irányítják a botprogramot. Ráadásul valamennyi változat négy különböző internetcím kiválasztását írja elő, méghozzá 72 óránként. Ez azt jelenti, hogy hetente több mint 450 domain nevet kellene regisztrálni. "Sokba került ez nekünk, és mindent megpróbáltunk, a vége mégis az lett, hogy kiderült, nem lehet kivitelezni, amit akartunk" - mondta Alex Lanstein, a Fire Eye vezető kutatója. "Alighogy felhagytunk a regisztrációval, a rossz fiúk rögtön lecsaptak a domainekre."

    További nehézség, hogy a számítógépet levélszemétküldő automatává varázsoló programok a gép rendszerének legérzékenyebb részébe férkőznek be, ahonnan veszélyes lehet kitörölni bármit is. Idegen számítógép rendszerébe csak úgy belenyúlni ráadásul még jó szándékkal sem szabad. "Utasíthattuk volna a programokat, hogy töröljék le magukat. Néhány másodpercig tartott volna az egész" - mondta Lanstein. "Ez eleve tilos, de még ha legális is lenne, mi van akkor, ha a kártékony program törlése még nagyobb kárt okoz?"

    A Fire Eye végül november 24-én leállította a vadászatot a Srizbi ellen. A cég szerint egy nappal később ismeretlen személyek Oroszországban regisztrálták a megmaradt domaineket és átvették az irányítást a világ legnagyobb levélszemétküldő hálózata felett – áll a The Washington Post internetbiztonsági blogjában megjelent bejegyzésben.

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció