Ботнет Mega-D был закрыт компанией FireEye

Усилиями компании FireEye несколько дней назад удалось завалить ботнет Mega-D, известный также как Ozdok. Пастухам этой зомби-сети не помогли защитные меры, которые те предприняли после удара, полученного в результате прошлогоднего закрытия провайдера McColo.

Как пояснил Атиф Муштак (Atif Mushtaq) из FireEye, Ozdok был вырублен в течение суток. Для этого компании пришлось сотрудничать с провайдерами и доменными регистраторами, что привело к блокировке IP-адресов и закрытию доменов, связанных с контролирующими центрами ботнета. Впрочем, часть контролирующих центров пока продолжают функционировать.

Владельцы Ozdok предприняли некоторые меры на случай подобных действий. В частности, зомби-компьютеры пытаются связываться с несколькими десятками доменных имён для получения инструкций по рассылке спама. Более 25 из этих доменов ещё не были зарегистрированы, чем и воспользовались сотрудники FireEye, не пожалевшие средств на их регистрацию на себя.

Тем не менее у Ozdok имеется и "План Б": ежедневно боты генерируют одно доменное имя, с которым пытаются связаться в случае, если все прочие домены не отзываются. Специалисты FireEye, зная алгоритм генерации этих имён, зарегистрировали соответствующие домены на некоторое количество дней вперёд.

Фактически боты Ozdok в настоящее время пытаются связываться с сервером, который контролируется FireEye. Это, в частности, позволяет грубо оценить размеры ботнета: за одни сутки было насчитано более 260 тысяч уникальных IP-адресов, откуда поступали запросы к перехваченному контролирующему центру.

В M86 Security Labs, где постоянно мониторят активность ботнетов, отмечают, что уровень спама, генерирующегося сетью Ozdok, резко снизился примерно 6 ноября и вчера упал до нуля.

Напомним, что ещё в начале прошлого года Mega-D/Ozdok был самым крупным спамогенератором, будучи ответственным примерно за треть мирового почтового мусора. С тех пор этот ботнет получил ряд серьёзных ударов со стороны киберзащитников.

Так, в середине февраля 2008 года были заблокированы его управляющие компьютеры, однако через десять дней злоумышленники сумели вернуть контроль над этой зомби-сетью. В октябре 2008 года Федеральная торговая комиссия (FTC) убедила суд заморозить активы группы HerbalKing, контролирующей сеть Mega-D.

Через месяц был закрыт калифорнийский хостинг-провайдер McColo, чьи серверы активно использовались спамерами — в том числе и пастухами Mega-D/Ozdok. Летом этого года, когда Mega-D уже давно сдал свои позиции, генерируя лишь около 12% общемирового спама, он получил новый удар: FTC закрыла ещё одного хостинг-провайдера — 3FN.

После этого активность Mega-D/Ozdok снизилась примерно втрое и держалась на этом уровне вплоть до недавнего времени, когда в FireEye решили добить лежачего.

Но говорить о полной победе пока рано. Компьютеры, зараженные трояном Ozdok, никуда не делись, а зарегистрировать один или несколько доменов, чьи имена генерируются по известному алгоритму — дело пустяковое. Правда, в FireEye собираются предпринять какие-то меры по идентификации зараженных компьютеров (что несложно) и их лечению (что проблематичнее, поскольку прямое вмешательство в работу компьютеров без ведома владельцев, пусть даже и с благими намерениями, во многих странах противозаконно).

Игорь Крейн