Shadowserver untuk Mengambil alih sebagai Mega-D Botnet Herder

Upaya sedang dilakukan untuk membersihkan puluhan ribu komputer yang terinfeksi perangkat lunak berbahaya yang dikenal mengaduk-aduk ribuan pesan spam per jam.

Komputer yang terinfeksi adalah bagian dari botnet yang disebut Ozdok atau Mega-D, yang pada satu waktu mengirimkan sekitar 4 persen dari pesan spam dunia.

Minggu lalu, vendor keamanan FireEyelaunched drive untuk membongkar botnet. Komputer yang terinfeksi menerima instruksi dan informasi untuk kampanye spam baru melalui server perintah-dan-kontrol. FireEye menghubungi penyedia jaringan yang menghosting server tersebut, dan sebagian besar dimatikan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Itu berarti bahwa orang-orang yang mengendalikan PC yang diretas, yang dikenal sebagai penggembala botnet, dapat menghubungi sebagian besar bot mereka lagi. Spam dari Mega-D hampir berhenti sepenuhnya. FireEye juga memotong mekanisme redundansi kedua penggembala diprogram ke Mega-D.

Jika mesin yang terinfeksi tidak dapat menghubungi server perintah-dan-kontrol, mereka diprogram dengan algoritma yang akan menghasilkan nama domain acak dan coba hubungi domain itu setiap hari. Penggembala tahu apa domain ini dan dapat mengunggah instruksi baru di sana.

Jika mesin yang terinfeksi mendapatkan instruksi baru, itu mungkin berarti FireEye akan kehilangan kontrol dan harus memulai dari awal lagi untuk mencoba dan mematikan Mega-D. FireEye telah mendaftarkan domain-domain tersebut untuk mencegah para gembala botnet mendapatkan kembali kendali.

Tapi FireEye kini menyerahkan kendali atas bot tersebut kepada Shadowserver, sebuah organisasi yang dikelola sukarelawan yang melacak botnet.

Shadowserver telah mengambil alih administrasi "sinkhole," atau komputer yang menjalankan perangkat lunak khusus yang berfungsi sebagai server perintah-dan-kontrol yang akan dipanggil oleh Mega-D bot, kata Andre 'M. DiMino, co-founder Shadowserver.

Shadowserver sekarang berada di proses mengidentifikasi komputer individu yang terinfeksi dengan Mega-D dan kemudian menghubungi penyedia layanan untuk host yang terinfeksi. Tujuannya adalah agar penyedia layanan menghubungi pemilik komputer tersebut dan meminta mereka untuk menjalankan pemindaian antivirus untuk menghapus infeksi dan membasmi Mega-D.

"Ini tentu merupakan tantangan bagi ISP untuk bekerja ke level pelanggan, dan kami memahami itu, "kata DiMino. "Yang terbaik yang kami lakukan pada titik ini adalah mendapatkan perincian dalam identifikasi yang kami bisa untuk ISP untuk membantu mereka. Idealnya tujuannya adalah untuk membersihkan mesin yang terinfeksi."

Shadowserver secara teratur mengirimkan daftar gratis mesin yang terinfeksi ke penyedia layanan, tetapi mengidentifikasi mesin tidak mudah. Jaringan perusahaan sering hanya menunjukkan satu alamat IP (protokol Internet) eksternal untuk ratusan pengguna, dan ISP akan menetapkan alamat IP yang berbeda ke PC saat pengguna menghidupkan dan mematikan komputer mereka, kata DiMino.

Memperbaiki komputer tersebut bisa menjadi proses yang lambat, karena diperkirakan bahwa hingga 500.000 komputer di seluruh dunia terinfeksi dengan Mega-D, dan itu bukan berarti botnet terbesar. Conficker, misalnya, diperkirakan telah menginfeksi hingga 7 juta mesin.

Brasil memiliki 11,5 persen dari total infeksi Mega-D, diikuti oleh India dan Vietnam, menurut blog FireEye. DiMino mengatakan Shadowserver memiliki hubungan yang kuat dengan Tim Tanggap Darurat Komputer di seluruh dunia, termasuk Brasil, yang dapat membantu bekerja dengan penyedia jaringan.

Bahkan jika Mega-D tidak dapat sepenuhnya dibunuh, "terkadang gangguan lebih realistis, "DiMino berkata.

" Kita akan lihat apa pengaruhnya, "katanya. "Juri masih ada."