Результаты препарирования программы-спамера, или кто агитировал за кандидатуру Рона Пола?

Эксперты SecureWorks рассекретили ботнет, рассылавший спам в поддержку кандидата в президенты США Рона Пола (Ron Paul).

Проведенная в конце октября атака спамеров была достаточно агрессивной, но кратковременной — она закончилась через 3 дня. Исследователям SecureWorks удалось определить IP-адреса 3000 компьютеров, занимавшихся спам-агитацией в Сети. Как выяснилось, обнаруженный ботнет не был специализированным орудием, созданным для предвыборной борьбы в США. Он использовался также для рекламирования (в том числе на русском языке) товаров, более распространенных в ассортименте спамеров — фальшивых часов, контрафактных медикаментов.

Заручившись помощью администраторов сетей, в которых были зарегистрированы боевые единицы ботнета, специалисты SecureWorks смогли найти его командный сервер, размещенный на территории США. Объединенными усилиями SecureWorks и Spamhaus сервер был закрыт, а резидентная управляющая программа попала в руки исследователей.

По свидетельству экспертов, составляющие ботнет зомби-компьютеры были заражены троянской программой для рассылки спама — Srizbi. Этот троянец впервые появился в Интернете весной 2007 года; он загружается на пользовательские ПК с помощью готовых комплектов для проведения сетевых атак, таких как n404 и Mpack.

Исследователи SecureWorks идентифицировали управляющую ботнетом программу как третью, усовершенствованную версию небезызвестной Reactor Mailer. По сведениям SecureWorks, автором данной программы является глава некоей компании Elphisoft, называющий себя «spm». Для написания Reactor Mailer этот спамер, по его собственным уверениям, нанял лучших программистов СНГ. Результаты исследования программ Reactor Mailer и Srizbi подтверждают это заявление: эксперты SecureWorks узнали почерк одного из их создателей — украинца, пользующегося ником «vlaman».

По данным SecureWorks, доступ к Reactor Mailer предоставлялся заказчикам как услуга: спамеры создавали на сервере персональные аккаунты и для подключения предоставляли веб-интерфейс. Для оценки защищенности спамовых писем от систем фильтрации спамер мог предварительно «прогнать» их через встроенный модуль SpamAssassin. Проверка активности электронных адресов осуществлялась с помощью специального механизма обратной связи. Исследователи SecureWorks также обнаружили, что ботнет был поделен на 16 сегментов, зараженных различными вариантами вредоносных программ. По всей видимости, операторы ботнета сдавали его в аренду по частям.

Эксперты SecureWorks определили, что спамовые сообщения в поддержку кандидатуры Рона Пола рассылались с аккаунта, зарегистрированного как «nenastnyj». В его базе данных числилось более 162 миллионов адресов электронной почты, ему служил мощный ресурс производительностью 200 миллионов сообщений в сутки. Тем не менее, судя по недолговечности предвыборных спам-рассылок, для «nenastnyj» это был разовый заказ — один в числе многих.

Источник: SECUREWORKS