Újra támadnak a zombiszámítógépek
MTI Sajtóadatbank, 2008. november 28. 09:07
Átmeneti csökkenés után újra növekszik a levélszemét-forgalom. Az FBI bő két hete lekapcsolta a legnagyobb amerikai spamterjesztő hálózatnak otthont adó McColo internetszolgáltatót, aminek hatására egyik napról a másikra eltűnt a levélszemét 75 százaléka, most azonban újraindult az áradat.
A McColo ügyfelei közé tartoztak a Srizbi elnevezésű bothálózat gazdái. A bot alattomban telepített kártékony szoftver (malware), amelytől távirányított automata, "zombi" lesz a megfertőzött személyi számítógép. A Srizbi a legnagyobb hálózat, nagyjából félmillió zombigépből áll. A globális spamforgalom 40 százalékát bonyolítja, és az FBI november 11-i akciója után alig két héttel kezd újraéledezni - írja a Security Fix. A Srizbi-botokba az alkotók biztonsági utasításokat is programoztak arra az esetre, ha megszakad a kapcsolat a zombihorda pásztoraival. A zombik engedelmeskednek; véletlenszerűen kiválasztott webhelyekkel lépnek kapcsolatba programfrissítésért és újabb parancsokért. Ezt a FireEye szakértői nyomozták ki, akik meg is próbáltak a pásztorok nyomába eredni. Regisztrálták azokat az internetcímeket - domain neveket -, amelyekről azt sejtették, hogy a bot és a programozó találkahelyei. A cél az volt, hogy megelőzzék a hálózat irányítóit, és önmegsemmisítésre utasítsák a programokat.
Probléma azonban, hogy a domainregisztrációért fizetni kell, a biztonsági programutasításnak - egy matematikai algoritmusnak - pedig több mint ötven változata van, amelyek mind más-más webhelyekre irányítják a botprogramot. Ráadásul valamennyi változat négy különböző internetcím kiválasztását írja elő, méghozzá 72 óránként. Ez azt jelenti, hogy hetente több mint 450 domain nevet kellene regisztrálni. "Sokba került ez nekünk, és mindent megpróbáltunk, a vége mégis az lett, hogy kiderült, nem lehet kivitelezni, amit akartunk" - mondta Alex Lanstein, a Fire Eye vezető kutatója. "Alighogy felhagytunk a regisztrációval, a rossz fiúk rögtön lecsaptak a domainekre."
További nehézség, hogy a számítógépet levélszemétküldő automatává varázsoló programok a gép rendszerének legérzékenyebb részébe férkőznek be, ahonnan veszélyes lehet kitörölni bármit is. Idegen számítógép rendszerébe csak úgy belenyúlni ráadásul még jó szándékkal sem szabad. "Utasíthattuk volna a programokat, hogy töröljék le magukat. Néhány másodpercig tartott volna az egész" - mondta Lanstein. "Ez eleve tilos, de még ha legális is lenne, mi van akkor, ha a kártékony program törlése még nagyobb kárt okoz?"
A Fire Eye végül november 24-én leállította a vadászatot a Srizbi ellen. A cég szerint egy nappal később ismeretlen személyek Oroszországban regisztrálták a megmaradt domaineket és átvették az irányítást a világ legnagyobb levélszemétküldő hálózata felett – áll a The Washington Post internetbiztonsági blogjában megjelent bejegyzésben.
Kapcsolódó cikkek
- Kelendő cikk a WLAN-törő
- Meghekkelték az amerikai pénzügyminisztérium oldalait
- Csalók az OTP nevében vírusos elektronikus leveleket küldtek
- Több százezer lopott Facebook-fiókot adott el egy hacker
- Felhasználók millióit érintette a decemberi Google elleni támadás
- Magyarország tizedik a kiberbűnözők toplistáján
- A magyar hekker átsétál a falon
- Vietnam cáfolja a Google szoftvertámadással kapcsolatos vádjait
- Kínai célkeresztben az ENSZ és a Dalai Láma
- Ethical Hacking konferencia: A digitális tojásvadászattól a netes vakrepülésig