Jeden botnet odpowiedzialny za 40% spamu

Ponad 40% całego światowego spamu wysyłane jest z sieci komputerów zombie - czyli botnetu - o nazwie Rustock. Specjaliści ds. bezpieczeństwa próbują go zniszczyć już od kilku lat, ale na razie bez większych efektów.

Ze statystyk opublikowanych właśnie przez firmę MessageLabs (oddział koncernu Symantec) wynika, że na każde 10 spamowych e-maili 4 pochodzi właśnie z komputerów zainfekowanych przez jedną z mutacji Rustocka.

Rustock jest klasycznym botwormem - to złośliwy program, który po zainfekowaniu peceta z Windows zamienia go w tzw. zombie PC, czyli element zdalnie kontrolowanej przez przestępców sieci komputerów. Jego podstawowym zadaniem jest rozsyłanie z zarażonych maszyn spamu - głównie reklam najróżniejszych medykamentów i innych preparatów zdrowotnych (środków na potencje, odchudzających suplementów diet itp.).

Eksperci zajmujący się zwalczaniem spamu i botnetów próbują wyeliminować Rustocka z Sieci już od kilku lat. W ciągu ostatnich kilku miesięcy udało im się co prawda znacząco zmniejszyć liczbę komputerów wchodzących w skład botnetu (z 2,5 mln w maju 2010 do 1,3 mln obecnie), ale nie spowodowało to niestety ograniczenia wysyłania spamu. Stało się wręcz odwrotnie - operatorzy botnetu dopracowali Rustocka i teraz cały botnet jest w stanie wysłać każdego dnia... 46 mld spamowych e-maili (czyli o 3 mld więcej, niż w maju).

Większość zainfekowanych przez botworma komputerów to "pecety" z Ameryki Północnej oraz Zachodniej Europy (to dość nietypowe - zwykle w statystykach najbardziej zarażonych maszyn przodują Chińczycy).

Co ważne, specjaliści ds. bezpieczeństwa przyznają, że spadek liczby zarażonych komputerów wcale niekoniecznie musi być bezpośrednim efektem ich działań - to raczej skutek tego, że z każdym miesiącem zwiększa się liczba programów antywirusowych poprawnie wykrywających i usuwających botworma Rustock.

Jak w takim razie operatorom Rustocka udało się nie tylko nie zmniejszyć, ale wręcz zwiększyć liczbę wysyłanych wiadomości reklamowych? Wydaje się, że głównie dzięki zrezygnowaniu z używania protokołu szyfrującego TLS (Transport Layer Security). To co prawda nieco zmniejszyło ich skuteczność (TLS utrudniał bowiem wykrywanie spamu przez systemy antyspamowe), ale jednocześnie pozwoliło na znaczne zwiększenie wydajność botnetu.

Warto przypomnieć, że Rustock jest niezwykle żywotnym botnetem - już kilkakrotnie wydawało się, że został rozbity w puch przez ekspertów ds. bezpieczeństwa (np. przy okazji zamknięcia osławionej firmy McColo, która specjalizowała się w hostowaniu serwerów kontrolujących botnety), ale jak do tej pory za każdym razem udawało mu się stanąć na nogi.


Zobacz również