25 ноября операторам ботнета Srizbi, потерявшего командные серверы в результате отключения от Сети хостинг-провайдера McColo, удалось перевести управляющие функции на серверы небольшой таллиннской компании Starline Web Services. Однако благодаря оперативности национальной Группы быстрого реагирования на компьютерные инциденты (Computer Emergency Readiness Team, CERT) и магистрального провайдера Linxtelecom новые адреса были через 13 часов заблокированы.
По оценке исследователей компании FireEye, в настоящее время ботнет Srizbi состоит приблизительно из 500000 зараженных машин, а сам троянец имеет более 50 модификаций. Как выяснилось, в случае потери связи с командным сервером бот Srizbi пытается восстановить ее перебором четырех «резервных» доменов.
Списки этих доменов и порядок их перебора отличаются у ботов, ориентированных на разные управляющие серверы, и обновляются каждые трое суток. Таким образом, для восстановления работы ботнета его операторам требуется всего лишь зарегистрировать актуальные домены, перенести управляющие функции на новые сервера и обновить спам-боты.
Воспользовавшись обнаруженным алгоритмом, эксперты FireEye попытались опередить повелителей Srizbi. Какое-то время они регистрировали воспроизводимые генератором варианты доменных имен, однако этот сценарий оказался слишком разорительным, так как требовал оплаты 450 доменов в неделю.
Как только исследователи прекратили регистрацию, инициативу перехватили владельцы ботнета. За один день компания DirectNIC, являющаяся специализированным подразделением американского онлайн-альянса Intercosmos Media Group, зарегистрировала пять доменов на имя некоего Улугбека Асатопова из Анкары. Четыре из них привязаны к эстонским серверам, а один — к серверу, IP-адрес которого зарегистрирован на Каймановых островах, а веб-хостинг находится во Франкфурте, Германия. Последний пока остается онлайн.
По оценкам экспертов, за время работы новых командных серверов Srizbi с ними имели возможность связаться около 100000 ботов. Сколько из них успели получить обновления, неизвестно, но новый шаблон для рассылки спама использовал кодировку koi8-r, то есть был рассчитан на русскоязычных пользователей Интернета. Все новые адреса SMTP-серверов принадлежат доменной зоне .ru. Один из этих серверов обслуживает крупнейший российский банк.
Источник: pcworld.com
Источник: voices.washingtonpost.com
Источник: blog.fireeye.com
Эстония отказала Srizbi в прописке