Sites Internet

Shadowserver prendra le contrôle de Mega-D Botnet Herder

Un effort est en cours pour nettoyer des dizaines de milliers d'ordinateurs infectés par des logiciels malveillants connus pour produire des milliers de spams par heure.

Les ordinateurs infectés font partie d'un botnet appelé Ozdok ou Mega-D, qui à une époque envoyait environ 4% des spams dans le monde.

La semaine dernière, le fournisseur de sécurité FireEyela lancé une campagne de démantèlement du botnet. Les ordinateurs infectés reçoivent des instructions et des informations pour les nouvelles campagnes de spam via des serveurs de commande et de contrôle. FireEye contacté les fournisseurs de réseau qui hébergeaient ces serveurs, et la plupart ont été fermés.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Cela signifiait que les personnes contrôlant les PC piratés, connus sous le nom de botnet herders, couldn Ne contactez plus la plupart de leurs robots. Spam de Mega-D a presque cessé complètement. FireEye a également coupé un second mécanisme de redondance que les éleveurs ont programmé dans Mega-D.

Si les machines infectées ne peuvent pas contacter un serveur de commande et de contrôle, elles sont programmées avec un algorithme qui va générer un nom de domaine aléatoire. essayez de contacter ce domaine tous les jours. Les éleveurs savent ce que sera ce domaine et peuvent y télécharger de nouvelles instructions.

Si ces machines infectées reçoivent de nouvelles instructions, cela signifie probablement que FireEye perdra le contrôle et devra recommencer pour essayer de fermer Mega-D. FireEye a enregistré ces domaines pour empêcher les gardiens de botnet de reprendre le contrôle.

Mais FireEye a maintenant confié le contrôle de ces bots à Shadowserver, une organisation gérée par des bénévoles qui surveille les botnets.

Shadowserver a pris en charge l'administration de un "gouffre", ou un ordinateur exécutant un logiciel personnalisé qui agit comme un serveur de commande et de contrôle sur lequel les bots Mega-D feront appel, a déclaré M. 'DiMino, le co-fondateur de Shadowserver.

Shadowserver est maintenant le processus d'identification des ordinateurs individuels infectés par Mega-D, puis la communication avec les fournisseurs de services pour ces hôtes infectés. L'objectif est de demander aux fournisseurs de services de contacter les propriétaires de ces ordinateurs et de leur demander de lancer une analyse antivirus afin de supprimer l'infection et d'éradiquer Mega-D.

«Il est certainement difficile pour les fournisseurs d'accès de travailler niveau d'abonné, et nous comprenons cela ", a déclaré DiMino. "Le mieux que nous puissions faire à ce stade est d'obtenir une identification aussi précise que possible pour que le FAI puisse les aider, idéalement pour nettoyer la machine infectée."

Shadowserver envoie régulièrement une liste gratuite de machines infectées fournisseurs de services, mais l'identification des machines n'est pas facile. Les réseaux d'entreprise affichent souvent seulement une adresse IP (protocole Internet) externe pour des centaines d'utilisateurs, et les FAI attribuent des adresses IP différentes aux PC lorsque les utilisateurs ouvrent et éteignent leurs ordinateurs, explique DiMino.

La réparation de ces ordinateurs pourrait être lente , car on estime que jusqu'à 500 000 ordinateurs dans le monde sont infectés par Mega-D, et ce n'est pas du tout le botnet le plus important. Conficker, par exemple, aurait infecté jusqu'à 7 millions de machines.

Selon le blog de FireEye, le Brésil a 11,5% du total des infections à Mega-D, suivi par l'Inde et le Vietnam. DiMino a déclaré que Shadowserver a des liens étroits avec les équipes d'intervention d'urgence informatique dans le monde, y compris le Brésil, qui peut aider à travailler avec les fournisseurs de réseau.

Même si Mega-D ne peut être complètement détruit, "DiMino a dit

" Nous verrons quel est l'effet ", at-il dit. "Le jury est toujours dehors."