正在努力清理数以万计感染了恶意软件的计算机,这些恶意软件每小时产生数千封垃圾邮件。
受感染的计算机是被称为Ozdok的僵尸网络的一部分, Mega-D,一度发送全球垃圾邮件的4%。上周,安全厂商FireEye推出了一个驱动器,用于解除僵尸网络。受感染的计算机通过命令和控制服务器接收新垃圾邮件活动的说明和信息。 FireEye联系了托管这些服务器的网络提供商,并且大部分都被关闭了。
[进一步阅读:如何从Windows PC删除恶意软件]
这意味着控制被黑客入侵的PC的人员(称为僵尸网络牧民)不再接触大部分机器人。 Mega-D的垃圾邮件几乎完全停止。 FireEye还切断了牧民编入Mega-D的第二种冗余机制。如果受感染的机器无法联系命令与控制服务器,它们将使用算法进行编程,该算法将生成一个随机域名尝试每天联系该域名。牧民知道这个域名会是什么,并且可以在那里上传新的指令。
如果那些被感染的机器获得了新的指示,这可能意味着FireEye将失去控制,必须重新开始尝试关闭Mega-D。 FireEye已经注册了这些域名,以防止僵尸网络的牧民重新获得控制权。
但是FireEye现在已经将这些僵尸网络的控制权交给了Shadowserver,一家志愿者运行的组织跟踪僵尸网络
Shadowserver已经接管了“Shadowhole”的联合创始人Andre'M. DiMino表示,它是一个“沉洞”,或者是一台运行定制软件的计算机,它可以作为Mega-D机器人可以访问的命令和控制服务器。识别感染了Mega-D的个人计算机,然后联系服务提供商处理这些受感染主机的过程。目标是让这些服务提供商联系这些计算机的所有者,并要求他们运行防病毒扫描,以消除感染并根除Mega-D。“
这对于ISP来说是一项挑战,订户级别,我们明白,“迪米诺说。 “我们现在所做的最好的办法是获得尽可能细致的身份识别信息,因为我们可以为ISP提供帮助,理想的目标是清理受感染的机器。”
Shadowserver定期发送免费的受感染机器列表服务提供商,但识别机器并不容易。 DiMino表示,企业网络通常只向数百个用户显示一个外部IP(互联网协议)地址,而ISP会为用户打开和关闭计算机分配不同的IP地址给PC。
修复这些计算机可能是一个缓慢的过程,据估计,全世界有多达500,000台计算机感染了Mega-D,它绝不是最大的僵尸网络。例如,Conficker估计感染了700万台机器。据FireEye的博客称,巴西占Mega-D感染总数的11.5%,其次是印度和越南。 DiMino表示,Shadowserver与世界各地的计算机应急响应小组(包括巴西)有着紧密的联系,可以帮助与网络提供商合作
即使Mega-D无法完全消灭,“有时中断更为现实, “迪米诺说,”我们会看看效果如何,“他说。 “陪审团仍然不在。”