Ülisuur McColo spämmibotnet, mille arvele langes parimatel hetkedel 50-75% ülemaailmsest spämmihulgast ja mis suleti juba kaks nädalat tagasi, tõusis üleeile varjusurmast.
FireEye Inc andmetel võtsid pahavaraga (Srizbi Trojan: Troj/RKAgen-A, Srizbi Rootkit:W32/Agent.EA jt) nakatunud arvutid ühendust Eestis asuvate Srizbi botneti kontrollserveritega, et teha nakatatud Windowsi-põhistes arvutites pahavaralisi versiooniuuendusi. Pahavara versiooniuuendus oli nakatatud arvutites eluliselt tähtis just sellepärast, et Srizbi botneti uued omanikud saaksid üle võtta “surnud” McColo-Srizbi botneti kontrollserverite tsentraalhalduse.
Huvitav ja (ebameeldivalt) üllatav on antud juhtumi puhul see, et paarisaja Srizbi botneti uute domeeninimede hulgas olid ka Eestis asuvate kontrollserverite IP aadressid.
Millised olid Eestis asuvate Srizbi botneti kontrollserverite IP aadressid ja domeeninimed?
FireEye Inc. andmetel olid need järgmised:
Domeeni nimi: prpoqpsy.com
IP aadress: 92.62.100.4
Domeeni nimi: gffsfpey.com
IP aadress: 92.62.100.9
Domeeni nimi: oryitugf.com
IP aadress: 92.62.100.12
Domeeni nimi: ypouaypu.com
IP aadress: 92.62.100.13
Tänu Eesti asjaomaste institutsioonide operatiivsele tegutsemisele pole antud hetkel need IP aadressid enam Internetis pingitavad ega anna nimelahendusi.
Tasub märkida, et kõik ülalmainitud domeeninimed on registreeritud kellegi kodanik Ulugbek Asatopov`i nimele, kelle kontaktiks on Türgis Ankaras asuv aadress ja e-postiks mail.ru konto. Nende domeenide nimeserverid (ns.tsr.ru, ns4.tsr.ru) aga asuvad Venemaal ning kuuluvad omakorda Moskvas asuvale firmale STC TeleCom Service JSC (TeleCom Service).
Kuid ülalmainitud domeenide IP aadressid seevastu kuuluvad hoopis Eestis asuvale infotehnoloogiafirmale Starline Web Services, mis pakub e-äri, veebidisaini ja virtuaalserverite teenuseid.
Nüüdsel it-ajastul võiksime õigustatult enda käest küsida, kuidas on ikka võimalik, et Internetist mahavõetud ülimassiivne rahvusvahelise haardega botnet suudetakse lühikese ajaga uuesti püsti ajada ning seda läbi sadade tuhandete nakatatud arvutite tarkvaraliselt uuesti värskendada, taastades seeläbi uue kontrollserverite keskhalduse?
Istume siin kodu- ja tööarvutite taga ning saame oma e-postkasti jätkuvalt suurtes kogustes spämmi. Ja juhul kui me seda spämmi otseselt ei saa, siis ikkagi kurdame aeglase internetiühenduse üle. Mis tuleneb sellest, et seesama “pikendustega” spämm koormab ja tekitab pudelikaelu meie arvutivõrkudes, ruuterites, tulemüürides ja spämmifiltrites.
Internetis on liikvel uudiseid, mis väidavad et Eestis asuvate botnet kontrollserveritega võttis ühendust ligikaudu 100 000 nakatunud arvutit. Srizbi botneti kuulub üle 300 000 nakatunud arvuti. Paraku ei näita nakatunud arvutite statistika internetis mitte kahanemistendentsi.
