一个以争夺僵尸网络而闻名的计算机安全公司上周搬到了试图关闭一个持久的垃圾邮件播放器。
加利福尼亚州一家生产安全设备的公司FireEye一直在跟踪一个名为Mega的僵尸网络-D或Ozdok。据M86安全公司称,Mega-D是一个被黑客攻击的计算机网络,它一直负责发送超过4%的垃圾邮件。构成Mega-D的许多计算机都感染了家用PC。
Mega-D是几个僵尸网络之一,它们采用了先进的技术措施,以确保其所有者不会失去对黑客入侵PC的控制权。黑客使用命令和控制服务器向僵尸PC发出指令,例如何时运行垃圾邮件活动。
[更多阅读:如何从Windows PC删除恶意软件]如果是Mega -D,被黑客攻击的PC将寻找特定的域名以下载指令,FireEye的Atiq Mushtaq在该公司的博客上写道。如果这些域不活跃 - 如果它们与滥用相关联,它们通常会被ISP关闭 - Mega-D机器将寻找自定义DNS(域名系统)服务器来查找实时域。
如果也失败了,Mega-D被编程为根据当前日期和时间生成一个随机域名,Mushtaq写道。当黑客注册域名时,受感染的机器可以访问该域名以获取新的说明。
Mega-D的机制确保其活跃,这使得安全公司很难。 Mushtaq写道:“除非有人致力于预先注册这些域名,否则僵尸牧民总是可以站出来注册这些域名,并将僵尸网络控制权重新加入。”上周四晚上,FireEye开始了攻击,联系了ISP有机器作为Mega-D的命令和控制服务器。 Mushtaq写道,除四个服务提供商外,所有服务提供商都关闭了Mega-D使用的IP地址连接。 FireEye还联系了控制用于Mega-D的域名的注册商
作为最后一项措施,FireEye注册了自动生成的域名,这些域名如果机器未能达到其他命令 - 控制节点
Mushtaq周五写道,一些264,784个独特的IP(互联网协议)地址已经联系了FireEye的“sinkhole”服务器,或者是为了识别受感染的PC而设置的服务器。
“从sinkhole服务器收集的数据日志将用于识别受害者机器,“Mushtaq写道,
希望互联网服务提供商能够联系这些用户并告知他们需要运行防病毒扫描。
FireEye的努力以及ISP的合作和注册服务机构,似乎已经成功驯服了Mega-D,至少暂时是如此。
周一,M86 Security的统计数据显示,Mega-D垃圾邮件几乎停止。在之前的一点中,M86曾经看到一台受Mega-D感染的计算机每小时发送多达15,000封垃圾邮件。
“这清楚地表明,取下世界上最恶劣的僵尸网络很困难但并非不可能, “Mushtaq写道,”但缓刑可能不会持续太久。 FireEye通过注册机器人将寻找的域名来抢占Mega-D,但是这个过程可能永无止境,而且代价高昂。如果FireEye停止注册域名,并且孤儿机器人会回家,黑客可能会上传新代码,使他们更难以关闭。“
我们不确定我们能够跟上这些未来领域的持续时间,”Mushtaq写道。