McColo-Srizbi spämmiva botneti tagasitulek
Erich Ravell, 27, november 2008Ülisuur McColo spämmibotnet, mille arvele langes parimatel hetkedel 50-75% ülemaailmsest spämmihulgast ja mis suleti juba kaks nädalat tagasi, tõusis üleeile varjusurmast.
FireEye Inc andmetel võtsid pahavaraga (Srizbi Trojan: Troj/RKAgen-A, Srizbi Rootkit:W32/Agent.EA jt) nakatunud arvutid ühendust Eestis asuvate Srizbi botneti kontrollserveritega, et teha nakatatud Windowsi-põhistes arvutites pahavaralisi versiooniuuendusi. Pahavara versiooniuuendus oli nakatatud arvutites eluliselt tähtis just sellepärast, et Srizbi botneti uued omanikud saaksid üle võtta “surnud” McColo-Srizbi botneti kontrollserverite tsentraalhalduse.
Huvitav ja (ebameeldivalt) üllatav on antud juhtumi puhul see, et paarisaja Srizbi botneti uute domeeninimede hulgas olid ka Eestis asuvate kontrollserverite IP aadressid.
Millised olid Eestis asuvate Srizbi botneti kontrollserverite IP aadressid ja domeeninimed?
FireEye Inc. andmetel olid need järgmised:
Domeeni nimi: prpoqpsy.com
IP aadress: 92.62.100.4
Domeeni nimi: gffsfpey.com
IP aadress: 92.62.100.9
Domeeni nimi: oryitugf.com
IP aadress: 92.62.100.12
Domeeni nimi: ypouaypu.com
IP aadress: 92.62.100.13
Tänu Eesti asjaomaste institutsioonide operatiivsele tegutsemisele pole antud hetkel need IP aadressid enam Internetis pingitavad ega anna nimelahendusi.
Tasub märkida, et kõik ülalmainitud domeeninimed on registreeritud kellegi kodanik Ulugbek Asatopov`i nimele, kelle kontaktiks on Türgis Ankaras asuv aadress ja e-postiks mail.ru konto. Nende domeenide nimeserverid (ns.tsr.ru, ns4.tsr.ru) aga asuvad Venemaal ning kuuluvad omakorda Moskvas asuvale firmale STC TeleCom Service JSC (TeleCom Service).
Kuid ülalmainitud domeenide IP aadressid seevastu kuuluvad hoopis Eestis asuvale infotehnoloogiafirmale Starline Web Services, mis pakub e-äri, veebidisaini ja virtuaalserverite teenuseid.
Nüüdsel it-ajastul võiksime õigustatult enda käest küsida, kuidas on ikka võimalik, et Internetist mahavõetud ülimassiivne rahvusvahelise haardega botnet suudetakse lühikese ajaga uuesti püsti ajada ning seda läbi sadade tuhandete nakatatud arvutite tarkvaraliselt uuesti värskendada, taastades seeläbi uue kontrollserverite keskhalduse?
Istume siin kodu- ja tööarvutite taga ning saame oma e-postkasti jätkuvalt suurtes kogustes spämmi. Ja juhul kui me seda spämmi otseselt ei saa, siis ikkagi kurdame aeglase internetiühenduse üle. Mis tuleneb sellest, et seesama “pikendustega” spämm koormab ja tekitab pudelikaelu meie arvutivõrkudes, ruuterites, tulemüürides ja spämmifiltrites.
Internetis on liikvel uudiseid, mis väidavad et Eestis asuvate botnet kontrollserveritega võttis ühendust ligikaudu 100 000 nakatunud arvutit. Srizbi botneti kuulub üle 300 000 nakatunud arvuti. Paraku ei näita nakatunud arvutite statistika internetis mitte kahanemistendentsi.
Postitatud: november 27th, 2008 20:40
Peeter Marvet
Postitatud: november 27th, 2008 21:13
Aare Kirna
Postitatud: november 27th, 2008 22:48
Peeter Marvet
Postitatud: november 27th, 2008 23:58
Aare Kirna
Postitatud: november 28th, 2008 0:11
Peeter Marvet
Postitatud: november 28th, 2008 14:34
m.s.vaikne
Postitatud: november 28th, 2008 16:03
hillarp
Postitatud: november 29th, 2008 0:07
Peeter Marvet
Postitatud: november 29th, 2008 3:23
netsnake
Postitatud: november 29th, 2008 20:45
hillarp
Postitatud: november 30th, 2008 0:33
Peeter Marvet
Postitatud: november 30th, 2008 13:01
Kaur
Postitatud: november 30th, 2008 18:13
hillarp
Postitatud: detsember 1st, 2008 10:49
Peeter Marvet
Postitatud: detsember 5th, 2008 17:29
Arvutikaitse » Blog Archive » Pushdo/Cutwail ja Bobax/Kraken botnetvõrgustikud
Postitatud: detsember 10th, 2008 21:35
Silver Meikar | Eesti esimene poliitiku ajaveeb » Eesti püstitas rekordi maailma suurima spämmija kiusamisel
Postitatud: detsember 10th, 2008 21:36
Silver Meikar