स्पैमर्स श्रीजबी बोटनेट के ऊपर नियंत्रण पुनः प्राप्त करने वाले स्पैमर्स

ज़ोंबी कंप्यूटर स्पैम भेजने के लिए इस्तेमाल होते हैं जीवन में वापस आ रहा है।

सुरक्षा विक्रेताओं का कहना है कि स्पैमर स्पैम भेजने के लिए उपयोग किए गए हैक किए गए पीसी के साथ रीकनेक्ट कर रहे हैं, जो कि पिछले कुछ दिनों में इंटरनेट पर बढ़ती स्पैम संदेशों की बढ़ती संख्या के कारण होता है। सैन जोस, कैलिफ़ोर्निया में स्थित एक गुप्त आईएसपी (इंटरनेट सेवा प्रदाता), मैककोलो के बंद होने के बाद स्पैम के स्तर अचानक दो हफ्ते पहले गिरा दिए गए, जिनकी कनेक्टिविटी का इस्तेमाल स्पॉट भेजने के लिए सैकड़ों हजार कंप्यूटरों के नेटवर्क को नियंत्रित करने के लिए किया गया था। फ़ायरएये के शोधकर्ताओं के अनुसार, जो कि श्रीजबी बोटनेट का हिस्सा हैं - जो कुछ अनुमानों से दुनिया के करीब आधा स्पैम भेजे जाते हैं - फिर से सक्रिय हो रहे हैं।

[और रीडिंग: आपके मैलवेयर को कैसे दूर करें विंडोज पीसी]

"श्रीजबी मृतकों से लौटे हैं और ताजा, नए बाइनरी के साथ अपने सभी बॉट्स को अद्यतन करना शुरू कर दिया है", मंगलवार को एटीफ मुश्ताक और फायरएय के एलेक्स लैनटेन द्वारा एक ब्लॉग पोस्ट के अनुसार। "दुनिया भर में अद्यतन कुछ घंटे पहले ही शुरू हुआ।"

श्रीज़बी के कंप्यूटरों को स्पैमर्स द्वारा मैकोको के नेटवर्क के जरिए नियंत्रित किया गया जब मैकोको बंद हो गया, तो उन कंप्यूटरों ने वापस कॉल करने और स्पैम भेजने के लिए नए निर्देश प्राप्त करने का प्रयास किया। लेकिन बोतनेट ऑपरेटर चतुर हैं और अगर वे फंसे हुए थे तो उन मशीनों को वापस पाने का एक तरीका बनाया।

फायर ईई शोधकर्ताओं ने अनिवार्य रूप से श्रीजीबी के कोड पर एक शव परीक्षा की। उन्होंने पाया कि हैकर एक एल्गोरिदम डालते हैं जो गतिशील रूप से एक डोमेन नाम उत्पन्न करता है जिससे एक समझौता कंप्यूटर नए निर्देशों को प्राप्त कर सकता है।

हैकर्स तब उस डोमेन नाम को पंजीकृत कर सकते थे और निर्देशों को रख सकते थे ताकि समझौता पीसी को अलग-अलग कमांड एंड कंट्रोल सर्वर - नये निर्देशों के लिए - नहीं मैकोको।

चूंकि फायरिए ने पता लगाया कि एल्गोरिथम कैसे काम करता है, कंपनी ने गबरीश डोमेन नाम पंजीकृत किया, जैसे कि "auaopagr.com", जो एल्गोरिथ्म उत्पन्न हुआ। जब उन मशीनों को ड्यूटी के लिए रिपोर्ट किया गया था, तो कोई निर्देश नहीं थे लेकिन फ़ायरएये डोमेन नामों को खरीदने के लिए हमेशा स्पैमर्स का प्रावधान नहीं कर सका।

अब समझौता कंप्यूटर स्पैमर द्वारा पंजीकृत डोमेन नामों से जुड़ रहे हैं और नए स्पैम अभियानों के लिए टेम्पलेट्स सहित अद्यतन कोड प्राप्त कर रहे हैं। नए आदेश और नियंत्रण सर्वर एस्टोनिया में हैं और रूस के रजिस्ट्रार से डोमेन नाम खरीदा जा रहा है, फायरिए ने कहा।

एक समय में श्रीजबी 450,000 से अधिक पीसी की राशि थी, और अब यह देखना बाकी है कि कितने उन मशीनों ने कोड अपडेट किया है लेकिन मैकको-रॉस्टॉक, कटवाइल और एएसप्रोक्स के द्वारा नियंत्रित तीन अन्य बोतलों - सभी भी ऑनलाइन वापस आ रहे हैं।

कम्प्यूटर सिक्योरिटी वेंडर सोफोस के दिमित्री सैमससेको ने बुधवार को लिखा कि स्पैम के स्तर अचानक इस हफ्ते की शुरुआत में बढ़ गया, कारण रुस्टॉक बोटनेट के पुनरुत्थान के भाग में।

टेलीकियानोनोरा द्वारा मैकोको की कनेक्टिविटी को थोड़ी देर में गलती से बहाल किया गया था, और अनमोल कुछ घंटों में ऑनलाइन स्पैमर ने रुस्टॉक से संक्रमित कंप्यूटरों को कहने की अनुमति दी थी, जहां नए निर्देशों के लिए जाना जाता था।

Antispam vendor MessagLabs, जो कि हाल ही में सिमेंटेक द्वारा अधिग्रहित किया गया था, ने अपने ब्रिटेन के कार्यालयों में स्थित वरिष्ठ विश्लेषक पॉल वुड के अनुसार, श्रीजबी से जुड़े स्पैम में वृद्धि का उल्लेख नहीं किया है।

लकड़ी ने कहा है कि संदेश-लिब स्पैम का विश्लेषण करता है जो इसके 8 मिलियन उपयोगकर्ताओं और यह हो सकता है कि श्रीज़ीबी अभी भी गति तक नहीं है या लोगों को कैसे लक्षित करता है।

लेकिन संदेशलैस ने रूस्टॉक, कटवाइल और एस्प्रोक्स से आने वाले स्पैम में एक अपटिक को देखा है, जो उन बॉटन को इंगित करेगा

"कूरियर के किसी भी प्रकार की तरह अगर आपका कूरियर नीचे जाता है या हड़ताल पर जाता है, तो आप एक वैकल्पिक प्रदाता पाते हैं," लकड़ी ने कहा।

फिर भी, स्पैम के स्तर लगभग 40 प्रतिशत हैं जो वे मैककोलो नीचे चला गया, वुड ने कहा।