Srizbi - powrót botnetu

W ostatnich dniach ponownie uaktywnił się botnet Srizbi - alarmują specjaliści z firmy FireEye. Sieć komputerów-zombie, zainfekowanych przez trojana Srizbi, wykorzystywana była (i jest) głównie do rozsyłania spamu oraz przeprowadzania ataków DDoS - jeszcze niedawno wydawało się, ze została ona zniszczona.

Najnowsze doniesienia pokazują jednak, że informacje o śmierci" Srizbi były nieco nieprecyzyjne - specjalistom ds. bezpieczeństwa kilka tygodni temu udało się co prawda zablokować serwer, za pośrednictwem którego operator sieci kierował botnetem, jednak komputery wchodzące w jego skład pozostały zarażone. Twórca botnetu uruchomił więc nowy serwer (prawdopodobnie w miniony piątek) - i sieć zombiePC znów jest aktywna. Z pierwszych analiz wynika, że serwer ten znajduje się w Estonii.

Żołnierze zostali bez dowódcy

Srizbi zniknął z sieci gdy przed kilkoma tygodniami zablokowano serwery firmy hostingowej McColo, z której usług bardzo chętnie korzystali internetowi przestępcy (m.in. operatorzy botnetów oraz spamerzy). Jeden z nich wykorzystywany był przez operatora Srizbi - gdy został wyłączony, komputery-zombie pozostały bez "dowódcy". Warto zaznaczyć, że wyłączenie McColo spowodowało również bardzo wyraźny - aczkolwiek tylko chwilowy - spadek liczby spamu.

Okazało się jednak, że twórca botnetu był przygotowany na taką ewentualność - wyposażył trojana (przekształcającego komputery z Windows w elementu sieci zombiePC) w listę rezerwowych serwerów, z którymi szkodnik powinien się łączyć w razie jakiejś awarii. I ta strategia najwyraźniej okazało się skuteczna - pod koniec minionego tygodnia botnet Srizbi znów był aktywny.

Estoński łącznik

Analizy przeprowadzone przez FireEye wykazały, że pierwszą akcją, jaką podjął ponownie uruchomiony botnet, było uaktualnienie Srizbi - dzięki temu komputery wchodzące w skład botnetu poznały nowy stały adres IP dowodzącego nimi serwera (jest on zlokalizowany w Estonii). Od razu po "zmartwychwstaniu" botnet zaczął masowo rozsyłać spam (obecnie jest on jednym z najaktywniejszych spamerów).

Srizbi nie był jedynym botnetem, który został tymczasowo zablokowany po wyłączeniu serwerów McColo - na tej samej zasadzie został dezaktywowany botnet Rustock. Ta sieć zombiePC wróciła jednak online dużo szybciej - jej operator wykorzystał chwilowe włączenie serwerów McColo 11 dni temu.

Microsoft pomoże?

Zdaniem pracowników FireEye, jedynym naprawdę skutecznym sposobem rozbicia Srizbi będzie usunięcie trojana z komputerów wchodzących w skład botnetu (specjaliści szacują, że jest ok. 100 tys.) - wyłączanie serwerów-dowódców jest rozwiązaniem tymczasowym. Najlepszą metodą przeprowadzenie tej operacji jest wyposażenie w definicje rozpoznające trojana darmowego narzędzia antywirusowego Microsoftu (MSRT), które co miesiąc udostępniane jest wraz z aktualizacjami użytkownikom Windows. W ten sposób zlikwidowany już został najaktywniejszy botnet w historii - osławiony Storm.