Spammer Mendapatkan Kendali Atas Srizbi Botnet

Komputer zombie yang digunakan untuk mengirim spam adalah hidup kembali.

Vendor keamanan mengatakan spammer menyambung kembali dengan PC yang diretas yang digunakan untuk mengirim spam yang dibuktikan dengan meningkatnya jumlah pesan spam yang beredar di Internet beberapa hari terakhir. Tingkat spam tiba-tiba turun dua minggu lalu setelah penutupan McColo, ISP jahat (Penyedia Layanan Internet) yang berbasis di San Jose, California, yang konektivitasnya digunakan untuk mengendalikan jaringan ratusan ribu komputer untuk mengirim spam, yang dikenal sebagai botnet.

Komputer yang merupakan bagian dari botnet Srizbi - yang oleh beberapa perkiraan mengirim hampir setengah dari spam dunia - tampaknya menjadi aktif kembali, menurut para peneliti dari FireEye.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari Anda Windows PC]

"Srizbi telah kembali dari kematian dan telah mulai memperbarui semua botnya dengan biner baru yang segar," menurut sebuah posting blog pada hari Selasa oleh Atif Mushtaq dan Alex Lanstein dari FireEye. "Pembaruan di seluruh dunia dimulai hanya beberapa jam yang lalu."

Komputer-komputer Srizbi dikendalikan oleh para spammer melalui jaringan McColo. Ketika McColo dimatikan, komputer-komputer itu mencoba menelepon balik dan mendapatkan instruksi baru untuk mengirim spam. Tapi operator botnet pintar dan menciptakan cara untuk mengembalikan mesin-mesin itu jika mereka terdampar.

Peneliti FireEye pada dasarnya melakukan otopsi pada kode Srizbi. Mereka menemukan bahwa peretas memasukkan algoritme yang secara dinamis menghasilkan nama domain tempat komputer yang disusupi dapat mengambil petunjuk baru.

Peretas kemudian dapat mendaftarkan nama domain tersebut dan menempatkan instruksi di sana untuk memberi tahu PC yang disusupi untuk menuju ke yang berbeda. server perintah-dan-kontrol - bukan milik McColo - untuk instruksi baru.

Karena FireEye menemukan cara kerja algoritme, perusahaan mendaftarkan nama domain nonsens, seperti "auaopagr.com," yang dihasilkan oleh algoritme. Ketika mesin-mesin itu dilaporkan untuk bertugas, tidak ada instruksi. Tapi FireEye tidak bisa terus mengganggu para spammer selamanya dengan membeli nama domain.

Sekarang komputer yang disusupi tersambung ke nama domain yang didaftarkan oleh spammer dan mendapatkan kode terbaru, termasuk template untuk kampanye spam baru. Server perintah-dan-kontrol baru berada di Estonia dan nama domainnya dibeli dari registrar di Rusia, kata FireEye.

Srizbi pada suatu waktu berjumlah lebih dari 450.000 PC, dan masih harus dilihat berapa banyak dari mesin-mesin itu telah memperbarui kode. Tapi tiga botnet lainnya yang dikontrol melalui McColo - Rustock, Cutwail dan Asprox - semua tampaknya juga akan kembali online.

Dmitry Samosseiko dari vendor keamanan komputer Sophos menulis pada hari Rabu bahwa tingkat spam tiba-tiba melonjak awal pekan ini, karena sebagian dari kebangkitan botnet Rustock.

Konektivitas McColo dipulihkan secara singkat oleh kesalahan oleh TeliaSonora, dan beberapa jam online yang berharga memungkinkan spammer untuk memberi tahu komputer yang terinfeksi dengan Rustock ke mana harus mencari instruksi baru.

Vendor Antispam MessagLabs, yang baru-baru ini diakuisisi oleh Symantec, belum mencatat peningkatan spam yang terkait dengan Srizbi, kata Paul Wood, analis senior yang bermarkas di kantor mereka di Inggris.

Wood mengatakan MessageLabs menganalisis spam yang berakhir di kotak masuknya yang berjumlah 8 juta pengguna dan mungkin bahwa Srizbi tidak dapat mempercepat atau mengubah cara menargetkan orang.

Tapi MessageLabs telah memperhatikan peningkatan dalam spam yang berasal dari Rustock, Cutwail dan Asprox, yang akan menunjukkan botn itu ets adalah mengambil slack Srizbi.

"Seperti bisnis apa pun jika kurir Anda turun atau mogok, Anda menemukan penyedia alternatif," kata Wood.

Namun, tingkat spam sekitar 40 persen dari apa yang mereka sebelum McColo jatuh, kata Wood.