Les spammeurs reprennent le contrôle de Srizbi Botnet

Les ordinateurs zombies utilisés pour envoyer du spam revenir à la vie.

Les vendeurs de sécurité disent que les spammeurs se reconnectent avec des PC piratés utilisés pour l'envoi de spam, comme en témoigne le nombre croissant de spams circulant sur Internet ces derniers jours. Les niveaux de spam ont soudainement chuté il y a deux semaines après la fermeture de McColo, un fournisseur d'accès Internet (ISP) basé à San Jose en Californie, dont la connectivité était utilisée pour contrôler les réseaux de centaines de milliers d'ordinateurs appelés zombies.

Selon les chercheurs de FireEye, les ordinateurs faisant partie du réseau de zombies Srizbi - qui, selon certaines estimations, ont envoyé près de la moitié des spams dans le monde - redeviennent actifs de nouveau.

Windows PC]

"Srizbi est revenu d'entre les morts et a commencé à mettre à jour tous ses bots avec un binaire nouveau et frais", selon un blog publié mardi par Atif Mushtaq et Alex Lanstein de FireEye. "La mise à jour mondiale a commencé il y a quelques heures."

Les ordinateurs de Srizbi étaient contrôlés par des spammeurs via le réseau McColo. Lorsque McColo a été fermé, ces ordinateurs ont essayé de rappeler et d'obtenir de nouvelles instructions pour envoyer du spam. Mais les opérateurs de botnet sont astucieux et ont créé un moyen de récupérer ces machines si elles étaient bloquées.

Les chercheurs de FireEye ont essentiellement fait une autopsie du code de Srizbi. Ils ont découvert que les pirates informatiques utilisaient un algorithme qui génère dynamiquement un nom de domaine à partir duquel un ordinateur infecté pouvait récupérer de nouvelles instructions.

Les pirates pouvaient alors enregistrer ce nom de domaine et y placer des instructions pour dire au PC compromis d'aller à un autre serveur de commande et de contrôle - pas McColo - pour de nouvelles instructions.

Depuis FireEye compris comment l'algorithme a fonctionné, la société a enregistré les noms de domaine charabia, tels que "auaopagr.com", cet algorithme généré. Lorsque ces machines se sont présentées au travail, il n'y avait pas d'instructions. Mais FireEye ne pouvait pas continuer à préempter les spammeurs pour toujours en achetant des noms de domaine.

Maintenant, les ordinateurs compromis se connectent aux noms de domaine enregistrés par les spammeurs et reçoivent du code mis à jour, y compris des modèles pour les nouvelles campagnes de spam. Les nouveaux serveurs de commande et de contrôle sont en Estonie et les noms de domaine sont achetés auprès d'un bureau d'enregistrement en Russie, indique FireEye.

Srizbi comptait autrefois plus de 450 000 PC, et il reste à voir combien de ces machines ont un code mis à jour. Mais trois autres botnets contrôlés via McColo - Rustock, Cutwail et Asprox - semblent tous revenir en ligne.

Dmitry Samosseiko du fournisseur de sécurité informatique Sophos a écrit mercredi que les niveaux de spam ont soudainement augmenté en début de semaine, en raison

La connectivité de McColo a été brièvement restaurée par erreur par TeliaSonora, et les précieuses heures de connexion en ligne ont permis aux spammeurs de dire aux ordinateurs infectés par Rustock d'aller chercher de nouvelles instructions.

Antispam vendor MessagLabs Paul Wood, analyste senior basé dans leurs bureaux au Royaume-Uni, a déclaré que MessageLabs analyse les spams qui se retrouvent dans les boîtes de réception de ses 8 millions d'utilisateurs. Il est possible que Srizbi ne soit pas encore au courant ou ait changé sa façon de cibler les gens.

Mais MessageLabs a remarqué une hausse des spams provenant de Rustock, Cutwail et Asprox, ce qui indiquerait

"Comme toute entreprise, si votre courrier tombe en panne ou se met en grève, vous trouvez un fournisseur alternatif", a dit Wood.

Pourtant, les niveaux de spam sont d'environ 40% de ce qu'ils Avant la chute de McColo, dit Wood.