根据计算机安全公司FireEye的研究人员,位于爱沙尼亚首都塔林的Starline Web Services已经托管了四个被确定为Srizbi控制点的域名。
世界各地数以十万计的PC感染了Srizbi ,一个用于发送垃圾邮件的难以删除的rootkit,被编程为从这些域中的服务器寻求新的指令。[
] [更多阅读:如何从Windows PC删除恶意软件]
Srizbi is consi认定其中一个更强大的僵尸网络,至少有450,000台PC受到感染。据估计,世界上有一半的垃圾邮件来自感染Srizbi的电脑。垃圾邮件对于网络犯罪分子仍然是一项有利可图的业务。但是,之前托管其命令与控制服务器的ISP被切断了互联网,垃圾邮件制造者却失去了对Srizbi的控制权。 McColo的服务器位于加利福尼亚州的圣何塞,在被计算机安全专家和华盛顿邮报曝光后,上个月早些时候被上游提供商切断。这让垃圾邮件发送者无法控制Srizbi感染的电脑。但是Srizbi的代码包含了一个回退机制,在这种情况发生时,垃圾邮件发送者可以重新连接搁浅的机器。
Srizbi内部的一种算法会定期生成新的域名,恶意软件会在这些域名在互联网上运行时寻找新的指令。用相同的算法武装起来,垃圾邮件发送者只需注册适当的域名并将它们指向他们的服务器。然而,垃圾邮件发送者需要一个新的ISP来托管这些服务器,至少在一段时间内。他们发现Starline Web Services是一家非常小的ISP,但该提供商此后也将其切断。
爱沙尼亚计算机紧急响应小组首席安全官Hillar Aarelaid说:“我很满意这些网站已关闭, CERT),星期四
尝试联系Starline Web Services失败。但是Aarelaid表示,CERT一直与该公司联系,并且似乎对有关滥用的投诉做出了响应。Starline Web Services从另一家爱沙尼亚公司Compic购买了它的连接。该组织的信息安全专家Tarmo Randel说,Compic已被爱沙尼亚的CERT标记为拥有恶意软件的网站,Randel表示CERT已经“不断”向Compic通报他们托管的恶意软件。兰迪尔说,Compic将采取行动,根据“我们尖叫多么大声”来移除这些网站。兰德尔说,Compic通常会在CERT发送投诉电子邮件时迅速做出反应 - 并抄袭爱沙尼亚刑事警察局,Randel说。周四,Compic的上游供应商Linxtelecom向爱沙尼亚ISP社区发送了一封电子邮件,表示他们是Randal说,计划切断Compic。
Linxtelecom出售IP转接服务,连接本地ISP和电信运营商与大型数据载体。 Linxtelecom在电子邮件中称,收到滥用的投诉中有99%与Compic有关,Randel说。
Linxtelecom的一位官员说他不知道电子邮件。 Compic确实在两天左右的时间内对投诉做出了回应,但Linxtelecom过去在投诉后切断了与Compic主持的网站的连接。
计算机安全专家说,有少数ISP和域名注册商与网络犯罪分子密切合作以支持垃圾邮件操作,销售假冒软件和其他诈骗的网站。
由于其国际性质,网络犯罪分子对关闭的反应速度以及缺乏执法资源或利益,这些行动难以阻止。
麦考洛的关闭是在公布研究结果后显示公司涉及的程度在同样的情况下,另一个着名的坏ISP(被称为Atrivo或Intercage)在9月被其上游供应商切断,这是由于计算机安全社区的压力越来越大。
最近McColo和Atrivo / Intercage的案例已经脱离了互联网,未来将会对其他已知的恶意软件主机施加更大的压力来采取行动或脱机,“McAfee的Avert Labs安全策略师Toralv Dirro说。 Thurday。