Специалисты по компьютерной безопасности из компании FireEye заявили о выведении из строя ботнета Grum, который они назвали третьим по размеру ботнетом в интернете. Grum генерировал 18% мирового спама, то есть рассылал около 18 миллиардов мусорных писем в день. По данным Spamhaus, ежедневно они видели около 120000 IP-адресов ботов Grum, рассылающих спам. После победы над ботнетом это число сократилось до 21505.

Уничтожение ботнета оказалось непростым делом. Во вторник спецы блокировали его C&C-серверы в Панаме и Нидерландах, но не смогли одолеть российский сервер (91.239.24.251). В тот же день владельцы ботнета начали активные действия по созданию резервных C&C-серверов на Украине. За вечер на место одного голландского сервера пришли шесть украинских. Так что «борцам за чистоту интернета» пришлось связаться со своими коллегами из России и Украины, и совместно со специалистами из антиспамерской сети SpamHaus удалось выследить и блокировать эти новые серверы, что произошло в среду утром.

Специалисты компании FireEye высказывают благодарность за содействие Александру Кузьмину из компании CERT GIB, а также анонимному хакеру под ником Nova7.

Разумеется, исследователи поспешили быстро сообщить о своём успехе, пока злоумышленники не выпустили новую версию программы или ввели в строй новые серверы. Вполне возможно, что этот успех временный. Например, так было с ботнетом Kelihos, над которым торжественно объявили победу, а потом вышла модифицированная версия Kelihos.b — и ботнет возобновил работу через несколько дней. Похожая история произошла с воскрешением ботнета Waledac в 2010 году.

Впрочем, специалисты из FireEye говорят, что в случае с Grum такого не произойдёт. По их словам, авторам Grum придётся начинать с нуля и заражать сотни тысяч машин заново, потому что боты Grum не способны перейти на новый командный сервер после того, как старый вышел из строя.

На иллюстрации: Бот Grum подключается к основному российскому C&C-серверу (IP-адрес 91.239.24.251).



Оставить мнение