‘Зомби’ наступают

По информации компании MessageLabs, доля спама в октябре составила 76,6%. Большая часть спамовых писем рассылалась с ‘зомби’-машин.

Всего на причастность к спаму MessageLabs было проверено 1,91 миллиардов сообщений. К спаму относилось 1 из 1,3 писем. Из проверенных на наличие вирусов 2,29 миллиардов 3,1% писем были заражены (1 из 32,24).

Один из основных источников спама и вирусов — ‘ботнеты’ — сети зараженных машин, тайно контролируемых спамерами и вирусописателями: с них было разослано около 70% спам-писем, заблокированных компанией MessageLabs в течение года.

Похоже, что серьезные антиспамовые меры, предпринимаемые интернет-провайдерами, в октябре привели к некоторым позитивным результатам. Положительную роль сыграло также активное применение юридических рычагов в борьбе со спамом. Однако ‘ботнеты’ находятся и в странах, где еще нет действенного антиспамового законодательства, и с них рассылаются миллионы спамовых писем.

По информации MessageLabs, в Интенете появилось множество предложений софта для ‘директ-маркетинга’, якобы, удовлетворяющего требованиям Can-Spam Act. На деле такие пакеты зачастую используют азиатские серверы, динамично меняющие IP-адреса раз в несколько минут с тем, чтобы обойти фильтры ISP.

Усложняются механизмы работы троянов. Модель ‘один спамер — один сервер’, судя по всему, становится не актуальной. Раньше после установки троян, как правило, искал ‘материнский’ сервер, с него загружал необходимые компоненты, обновления и получал новые задания. Чтобы прекратить работу такой сети, достаточно вычислить и заблокировать сервер.

Последнее поколение ‘зомби’ в централизованном управлении через один сервер не нуждается, и ‘загасить’ сети таких машин достаточно трудно.

Нынешние ‘зомби’ могут сканировать Интернет в поисках ‘собратьев’. После установки контакта, инфицированные машины способны обмениваться информацией обо всех ‘зомби’-машинах, найденных ими ранее, и любой загруженный код реплицируется и распространяется по всей сети. При этом загрузить код может и сам троян.

Доступ к таким ‘ботнетам’ дают только специальные цифровые ключи, следовательно, сеть может использовать либо создатель трояна, либо тот, у кого есть к ней ‘золотой ключик’.

Источник: MessageLabs