Командный сервер Rustock переведен в Россию

Отлученный от Интернета за пособничество киберкриминальным структурам хостинг-провайдер McColo
воспользовался резервным соглашением с местным субподрядчиком шведского магистрального провайдера TeliaSonera AB и на короткое время возобновил свое присутствие в Сети. Это дало возможность операторам ботнета Rustock обновить клиент для части зомби-компьютеров и перенести управляющие функции на субдомен abilena.podolsk-mo.ru.

Одиозный сервис ожил в субботу, 15 ноября, и проработал немногим более суток. За это время в компании Trend Micro зафиксировали перекачку информации с ресурса на российские серверы со скоростью 15 МБ/сек. По мнению исследователей, время выхода McColo в интернет было выбрано не случайно: если в выходные дни кто и заметит подозрительную активность в Сети, меры противодействия будут отложены до понедельника.

Новый IP-адрес, на который перекочевал веб-хостинг Rustock, — 62.176.17.200 – уже занесен в списки запрещенных Spamhaus. По данным этой организации, теперь в подсетях ООО «Зингер-Компьютер» размещены рекламируемая в спаме интернет-аптека Canadian RX Drugs и командный сервер Rustock.

По оценкам экспертов, потенциальная производительность данного ботнета составляет 30 миллиардов писем в сутки. К счастью, получив от компании Sophos
уведомление о допущенном злоупотреблении, служба безопасности TeliaSonera проявила оперативность и лишила McColo доступа к Сети раньше, чем было проведено тотальное обновление Rustock.

Что касается операторов ботнета Srizbi, управляющие серверы которого тоже были размещены в сетях McColo, то они, судя по отсутствию спама из этого источника, пока не приняли определенного решения. Специалисты компании Marshal выяснили, каким образом хозяева ботнета Srizbi могут вернуть потерянный контроль над зомби-сетью. Каждый бот Srizbi ориентирован на один из нескольких контролирующих серверов, ранее хостившихся на McColo. Обнаружив, что с прежнего IP-адреса невозможно получить шаблоны писем и адреса для рассылки спама, бот начинает искать командный центр ботнета на одном из четырех «резервных» доменов. Если боту удастся найти управляющий сервер своего ботнета, он получит шаблоны писем, и рассылка спама с зараженного компьютера возобновится.

Списки «резервных» доменов и порядок их перебора отличаются у ботов, ориентированных на разные управляющие серверы. Однако ни один из выявленных доменов пока не зарегистрирован. Возможно, в ближайшем будущем их зарегистрируют спамеры с целью возрождения ботнета Srizbi, либо конкуренты, желающие получить контроль над этим ботнетом.

Источник: theregister.co.uk

Источник: hostexploit.com