Bétervvel álltak elő a spammerek

Az FBI egyik akciójának köszönhetően körülbelül két héttel ezelőtt sikerült leállítani azt a kaliforniai székhelyű, McColo nevű internetszolgáltatót, amelyet többek között vírus- és spamterjesztéssel vádoltak meg. Az akció után a spamek mennyisége - több biztonsági cég szerint is - észrevehetően csökkent. Így például a MessageLabs és a Sunbelt is arra lett figyelmes, hogy a McColo kapuinak bezárását követően a levélszemét terjedése némiképp visszaszorult. Azonban a spammerek nem estek kétségbe, és bevetették a B-tervüket.

Mint kiderült a spammerek a McColo szerverein keresztül tartották kezükben a nagy kiterjedésű, rengeteg fertőzött számítógépet magába foglaló Srizbi botnet hálózatot. Egyes hírek szerint ezáltal több százezer PC-t voltak képesek irányítani, és azokat többek között spamküldésre felhasználni. Mivel a McColo leállt, ezért elvesztették az uralmat a számítógépek felett, igaz nem sokáig. A FireEye kutatói ugyanis észrevették, hogy a Srizbi trójai kódjába korábban a készítői beépítettek egy olyan funkciót, amely abban az esetben lép működésbe, ha a kártékony program az eredeti szervereket nem tudja elérni. Ennek révén a trójai dinamikusan kezdett el generálni domain neveket, és így csak arra volt szükség, hogy a támadók lefoglalják az új domaineket. Ezt meg is tették, így a botnet hálózatuk meglehetősen gyorsan újraéledt. A fertőzött számítógépekre rákerült a Srizbi legutóbbi variánsa, és azok az új email sablonok, amelyek szükségesek a spamek küldözgetéséhez.

A FireEye szerint a Srizbi botnethez kapcsolódó számítógépek jelenleg egy Észtországban működő szerverről kapják a parancsokat. Az újonnan használt domain nevet pedig Oroszországban foglalták le.

A MessagLabs, amely 8 millió postafiók spamszűrését végzi világszerte, egyelőre még nem tapasztalt különösebb növekedést a levélszemét mennyiségében a Srizbi újbóli ténykedése miatt. A cég szerint a spamek aránya jelenleg 40 százalék körül alakul.