|
شروع بهکار مجدد یک botnet قدیمی
|
|
توسط :
nsec
تاریخ :
چهارشنبه 12 خرداد 1389
گروه :
هشدارهاي مهم
تعداد بازدید :
461 بار
چکیده :
یک شبکه عظیم از Botnetها که به ارسال هرزنامهها مشغول بود و چندی پیش متلاشی شده بود، مجدداً فعالیت خود را از سر گرفته و تحت فرمان مجرمین قرار گرفته است ...
یک شبکه عظیم از Botnetها که به ارسال هرزنامهها مشغول بود و چندی پیش متلاشی شده بود، مجدداً فعالیت خود را از سر گرفته و تحت فرمان مجرمین قرار گرفته است. این Botnet که به نام Srizbi شهرت دارد، هفته گذشته مجدداً فعالیت خود را از سر گرفته است و ارتباط آن با سرورهای فرماندهی که این بار در کشور استونی قرار دارد، مجدداً بر قرار شده است. Srizbi در حدود دو هفته پیش، پس از بسته شدن یک ارائه دهنده سرویس اینترنت به نام McColo که بسیاری از شبکههای تبهکاری از جمله Srizbi را سرویسدهی می کرد، متلاشی شد. با بسته شدن McColo، رایانههای آلوده دیگر نمیتوانستند با مرکز فرماندهی خود ارتباط برقرار کنند و لذا حجم هرزنامههای ارسال شده در این فاصله کمی کاهش یافت. از آنجاییکه Botهای Srizbi نمیتوانستند با سرورهای فرماندهی که توسط McColo سرویسدهی میشدند ارتباط برقرار کنند، لذا سعی میکردند که توسط الگوریتمهای داخلی از پیش تعریف شده، با دامنههای جدیدی ارتباط برقرار کنند. شرکت FireEye با استفاده از مهندسی معکوس، دامنههایی که امکان اتصال این Bot به آنها وجود داشت را شناسایی و منتشر کرده است. نام دامنهها در چرخهای که سه روز به طول میانجامید انتخاب میشدند و برای مدتی شرکت FireEye دامنههای انتخاب شده را ثبت می کرد ولی به دلیل مسایل مادی، FireEye از این کار دست کشید و لذا Srizbi پنج دامنه جدید انتخاب کرد و Botها موفق به اتصال به سرورهای فرماندهی شدند و بدافزار به نسخه جدید به روز رسانی شد. پس از بهروزرسانی، Botها مجدداً اقدام به ارسال هرزنامهها کردند. نسخههای جدید Srizbi، از طریق سرورهای واقع در استونی دستور میگیرند. هم اکنون شرکت FireEye با همکاری Network Solutions (فعال در زمینه ثبت دامنهها)، VeriSign و مایکروسافت مشغول یافتن راهی برای پاکسازی 100000 رایانه آلوده به Srizbi هستند.
به این خبر چه امتیازی میدهید ؟
