Spammers Regaining Control Over Srizbi Botnet

أجهزة الزومبي المستخدمة لإرسال البريد المزعج

ويقول بائعي الأمن إن مرسلي البريد المزعج يعيدون الاتصال بأجهزة الكمبيوتر التي تم اختراقها والتي تستخدم لإرسال الرسائل غير المرغوب فيها كما يتضح من عدد متزايد من رسائل البريد المزعج المتداولة على الإنترنت خلال الأيام القليلة الماضية. انخفضت مستويات الرسائل غير المرغوب فيها فجأة منذ أسبوعين بعد إغلاق شركة McColo ، وهي شركة مزوّدة لخدمة الإنترنت (ISP) ، مقرها سان خوسيه ، بكاليفورنيا ، تم استخدام الاتصال بها للتحكم في شبكات مئات الآلاف من أجهزة الكمبيوتر لإرسال الرسائل غير المرغوب فيها ، والمعروفة باسم شبكات الروبوت (botnets).

أجهزة الكمبيوتر التي تعد جزءًا من الروبوتات السريلزمبية - التي أرسلت بعض التقديرات ما يقرب من نصف الرسائل غير المرغوب فيها في العالم - يبدو أنها أصبحت نشطة مرة أخرى ، وفقًا لباحثين من FireEye

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows

عاد سريزبي من الموت وبدأ بتحديث جميع برامج الروبوت الخاصة به مع ثنائي جديد ، "وفقا لمقالة على مدونة يوم الثلاثاء من قبل عاطف مشتاق وأليكس لانشتاين من فاير آي. "التحديث العالمي بدأ قبل بضع ساعات."

تم التحكم في أجهزة الكمبيوتر في سريزبي من قبل مرسلي البريد المزعج من خلال شبكة McColo. عندما تم إيقاف McColo ، حاولت أجهزة الكمبيوتر هذه الاتصال مرة أخرى والحصول على تعليمات جديدة لإرسال البريد الإلكتروني العشوائي. لكن مشغلي الروبوتات هم أذكياء وخلقوا طريقة لاستعادة تلك الأجهزة إذا ما تقطعت بهم السبل.

قام باحثو FireEye بشكل أساسي بعمل تشريح للجثة على رمز سريزبي. ووجد الباحثون أن المتسللين وضعوا في خوارزمية ديناميكيًا يولد اسمًا للنطاق يمكن من خلاله جهاز كمبيوتر مخترق جلب تعليمات جديدة.

يمكن للمتسللين بعد ذلك تسجيل اسم النطاق ووضع الإرشادات هناك لإخبار الكمبيوتر المخترق بالانتقال إلى موقع آخر خادم الأوامر والتحكم - وليس McColo - للحصول على تعليمات جديدة.

منذ أن برزت FireEye كيفية عمل الخوارزمية ، سجلت الشركة أسماء المجال الهراء ، مثل "auaopagr.com" ، التي ولدت الخوارزمية. عندما ذكرت هذه الآلات عن العمل ، لم تكن هناك تعليمات. ولكن FireEye لا يمكن أن تستمر في استباق spammers إلى الأبد عن طريق شراء أسماء المجال.

الآن أجهزة الكمبيوتر المخترقة ترتبط بأسماء النطاقات المسجلة من قبل مرسلي الرسائل الاقتحامية والحصول على رمز محدثة ، بما في ذلك قوالب لحملات جديدة للرسائل غير المرغوب فيها. تقع خوادم القيادة والتحكم الجديدة في إستونيا ويتم شراء أسماء النطاقات من أمين السجل في روسيا ، حسبما قال FireEye.

وصلت سريزيبي في وقت واحد إلى أكثر من 450،000 جهاز كمبيوتر ، ويبقى أن نرى كم من تلك الآلات لديها رمز محدث. ولكن يبدو أن هناك ثلاثة برامج أخرى خضعت للسيطرة من خلال McColo - Rustock و Cutwail و Asprox - ظهر أنها عادت مرة أخرى على الإنترنت.

كتب دميتري ساموسيكو من شركة Sophos المتخصصة في أمن الكمبيوتر يوم الأربعاء أن مستويات الرسائل الاقتحامية ارتفعت فجأة في وقت سابق من هذا الأسبوع ، في جزء منه إلى عودة الروبوتات روستوك.

تم استعادة اتصال McColo لفترة وجيزة عن طريق الخطأ من قبل TeliaSonora ، وساعات قليلة الثمينة على الإنترنت سمحت لمرسلي البريد المزعج أن تخبر أجهزة الكمبيوتر المصابة بـ Rustock إلى أين تذهب للحصول على تعليمات جديدة.

Antispam vendor MessagLabs وقال بول وود ، وهو محلل كبير مقره في مكاتبها في المملكة المتحدة: "لم تلاحظ شركة سيمانتيك في الآونة الأخيرة ارتفاعا في البريد المزعج المرتبط بسيرزبي.

قال وود أن MessageLabs تحلل البريد المزعج الذي ينتهي به المطاف في صناديق البريد الوارد البالغ عددها 8 ملايين. المستخدمين وقد يكون أن Srizbi إما لا يصل إلى سرعة أو حتى تغير كيفية استهدافها للناس.

ولكن MessageLabs لاحظت زيادة في الرسائل الاقتحامية الواردة من Rustock ، Cutwail و Asprox ، مما يشير إلى تلك botn وقال وود: "مثلما يحدث في أي نوع من الأعمال ، إذا ما انقطعت ساعيك أو دخلت في الإضراب ، ستجد موفرًا بديلاً".

ومع ذلك ، فإن مستويات الرسائل غير المرغوب فيها تبلغ حوالي 40٪ مما كان قبل أن يذهب McColo ، وقال وود.