Après McColo Takedown, le spam augmente encore

Les niveaux de spam ont chuté de près de moitié lorsque l'ISP (fournisseur d'accès Internet) McColo a été déconnecté en novembre. Mais certains nouveaux botnets et même les plus anciens produisent encore plus de spams.

"Au rythme actuel, nous serons de retour à ces niveaux de pré-McColo au cours des trois à cinq prochaines semaines", a déclaré Adam Swidler, senior

Google a annoncé lundi une augmentation de 156% du spam depuis la mise hors ligne de McColo. McColo hébergeait les serveurs dits de commande et de contrôle pour les botnets qui sont utilisés pour ordonner aux PC d'envoyer du spam. Les botnets comprenaient Rustock, Srizbi, Pushdo / Cutwail, Méga-D et Gheg.

Le retrait de McColo a pour la plupart tué le botnet de Srizbi, qui était responsable de l'envoi d'une grande partie du spam mondial. Mais d'autres botnets - qui sont essentiellement des légions d'ordinateurs piratés configurés pour envoyer des spams - prennent le relais.

Mega-D, également connu sous le nom d'Ozdok, comprend au moins 660 000 PC, selon MessageLabs, un e équipement de sécurité -mail maintenant détenu par Symantec. En moyenne, les PC infectés par Mega-D envoient 589 402 messages par jour, soit environ 409 par minute. Au total, Mega-D envoie 38 milliards de messages par jour.

Selon les derniers chiffres publiés par MessageLabs lundi, 74,6% de tous les e-mails étaient des spams ce mois-ci, en hausse de 4,9% par rapport à décembre. Les pourcentages de spam peuvent varier selon le fournisseur d'ordinateurs utilisant leurs services, qui sont utilisés pour collecter des statistiques sur le spam.

"Nous avons constaté une augmentation constante au cours des deux derniers mois", explique Paul Wood, MessageLabs Intelligence Analyste chez Symantec.

Les messages de spam ont chuté à environ 58% de tous les e-mails lorsque McColo a baissé, mais ils sont passés à 69% en décembre,

Les spammeurs changent également de tactique pour assurer leurs messages ne sont pas bloqués, a déclaré Richard Cox, CIO pour l'organisation antispam Spamhaus.

Lorsqu'un ordinateur est infecté avec du code utilisé pour envoyer du spam, il met en place un serveur de messagerie sur le PC, qui procède au pompage de spam directement sur Internet. Mais si cet ordinateur est remarqué en train d'envoyer du spam, il est ajouté à une liste de blocage d'adresses IP d'utilisateur final (Internet Protocol) qui ne devraient pas envoyer de courrier non authentifié.

Les spammeurs utilisent des programmes qui détectent FAI de la personne, puis acheminer le courrier à travers ce FAI, ce qui évite de se bloquer quand il est vérifié contre la liste, a déclaré Cox. Cependant, le spam pourrait être bloqué par d'autres méthodes de détection et d'analyse.

Les FAI ne sont "pas vraiment configurés pour" stopper ce genre d'abus pour l'instant, a dit Cox. De plus, de nombreux FAI n'ont pas de personnel de sécurité disponible en permanence pour intervenir rapidement en cas de signalement d'abus.

Spamhaus est en train de repérer les FAI qui hébergent les serveurs de commande et de contrôle de certains des botnets flagrants actuels.. Cox a déclaré qu'il ne pouvait pas divulguer plus d'informations.

La fermeture de McColo est survenue après la parution d'un rapport dans le Washington Post, en conjonction avec la pression des analystes de la sécurité informatique. Bien que McColo ait été lié à des sites Web hébergeant de la pornographie juvénile, c'est la communauté des chercheurs plutôt que l'application de la loi qui a amené les fournisseurs en amont de McColo à la déconnecter de l'Internet. Bien que les serveurs de McColo se trouvaient aux États-Unis, les personnes censées diriger l'opération étaient probablement outre-mer.

(Robert McMillan à San Francisco a contribué à ce rapport.)