用于发送垃圾邮件的僵尸计算机是“
安全厂商表示,垃圾邮件发送者正在与用于发送垃圾邮件的黑客电脑重新连接,最近几天互联网上流传的垃圾邮件数量不断增加。 McColo是一家位于加利福尼亚州圣何塞的流氓ISP(互联网服务提供商),它的连接被用来控制成千上万台计算机发送垃圾邮件的网络,称为僵尸网络,两周前垃圾邮件水平突然下降。
据FireEye的研究人员称,属于Srizbi僵尸网络的计算机 - 根据一些估计,它发送了近一半的世界垃圾邮件 - 显然正在变得活跃。<进一步阅读:如何从您的系统中删除恶意软件Windows PC]
“根据FireEye的Atif Mushtaq和Alex Lanstein周二发表的一篇博客文章,Srizbi已经从死亡中复出并开始使用全新的二进制文件更新所有机器人。 “全球范围内的更新仅在几个小时前开始。”Srizbi的电脑由垃圾邮件发送者通过McColo的网络控制。当McColo被关闭时,这些电脑试图回电并获得发送垃圾邮件的新指令。但是僵尸网络运营商很聪明,并且创建了一种方法,让它们在被困时能够恢复。
FireEye的研究人员基本上对Srizbi的代码进行了验尸。他们发现黑客使用了一种动态生成域名的算法,一个被感染的计算机可以从中获取新的指令。然后,黑客可以注册该域名并在那里发布指令,告诉被感染的PC去不同的域名命令和控制服务器 - 而不是McColo's - 的新指令。
由于FireEye发现算法的工作原理,公司注册了算法生成的乱码域名,例如“auaopagr.com”。当这些机器报到值班时,没有指示。但FireEye无法通过购买域名永远占领垃圾邮件发送者。
现在,受感染的计算机将连接到垃圾邮件发送者注册的域名,并获取更新的代码,包括新的垃圾邮件活动的模板。 FireEye表示,新的命令和控制服务器位于爱沙尼亚,域名正在从俄罗斯的注册服务商处购买.Srizbi曾一度达到超过450,000台个人电脑,而且还有多少那些机器已经更新了代码。但另外三个通过McColo - Rustock,Cutwail和Asprox控制的僵尸网络似乎也都恢复了在线状态。计算机安全厂商Dmitry Samosseiko星期三写道,本周早些时候垃圾邮件水平突然激增,部分原因是Rustock僵尸网络的复活
TeliaSonora错误地恢复了McColo的连接,并且在线上的宝贵的几小时允许垃圾邮件发送者告诉感染Rustock的计算机去哪里寻求新的指示
反垃圾邮件供应商MessagLabs ,该公司最近被赛门铁克收购,并没有注意到与Srizbi有关的垃圾邮件数量在增加,Wood Wood表示,他们在英国的办事处是高级分析师。Wood表示,MessageLabs分析垃圾邮件的结果在800万的收件箱中用户,可能是Srizbi要么还没有加快速度,要么改变了它如何瞄准人。但是MessageLabs已经注意到来自Rustock,Cutwail和Asprox的垃圾邮件的增长,这将表明那些僵尸Ets正在捡起Srizbi的松懈。“
像任何一种业务,如果你的快递员宕机或罢工,你会找到一个替代的提供商,”Wood说,“但是,垃圾邮件的水平大约是他们的40%伍德说,在麦科洛跌倒之前,