Ботнет Rustock – лидер по спам-рассылкам

По оценке компании Marshal, в начале марта 35,3% спама распространялось с ботнета
Rustock.

Лишившись командных серверов при отключении веб-хостинга McColo, владельцы этого ботнета озаботились переносом командных центров на альтернативные ресурсы. В результате до недавних пор, по данным экспертов, Rustock функционировал с переменным успехом, но с начала года вступил в конкурентную борьбу за утраченные позиции.

В настоящее время он возглавляет рейтинг ботнетов по рассылке спама. Второе место занимает Mega-D, вклад которого в спам-трафик, по данным Marshal, составляет 23,6%.

Исследователи отмечают, что Rustock оперирует одним из наиболее продуктивных спамботов, производительность которого в настоящее время составляет около 25000 сообщений в час. Его деятельность на зараженном компьютере замаскирована руткитом, поэтому обнаружить его присутствие без специальных инструментов можно только по возрастанию smtp-трафика на порте 25.

Шаблоны для рассылки спама с Rustock обновляются в динамическом режиме и весьма разнообразны. Основным объектом спам-рекламы, по данным Marshal, являются интернет-аптеки сети Canadian Pharmacy, привязанные к доменной зоне .cn.

Все домены, запрашиваемые спамботами Rustock, зарегистрированы частными лицами в российской компании ООО «Регтайм». Поиск в базе данных Whois показал, что владельцем ряда доменов, зарегистрированных 30 января 2009 года, является некий Павел Васильев из Челябинска. Несколько доменов зарегистрированы 11 декабря прошлого года и принадлежат, как гласят записи в Whois, киевлянину Петру Боровиченко.

Исследователи перехватили сеанс связи одного из спамботов Rustock с IP-адресом 91.212.45.10. Данный сервер расположен на территории Великобритании и числится в сети /24 рижской компании Neteks.