Ponad pół roku temu cieszyliśmy się małą wygraną jaką było całkowite odłączenie dostawcy usług internetowych McColo. Związani oni byli dość mocno z czołówką botnetów rozsyłających spam co po odłączeniu bardzo szybko udowodniły wykresiki z serwisów monitorujących ilość wysyłanego spamu. Po jakimś czasie wykresy powróciły do normy gdyż korzystający z odłączonego dostawcy udało się przejąć swoje sieci botnet i tak wrócili do gry. Tym razem wyrokiem sądu hamerykańskiego jeśli można tak pisać, odłączony został dostawca systematycznie współpracujący z twórcami złośliwego oprogramowania, spamerami, a także hostujący strony z pornografią dziecięcą – 3FN (znany także jako APS Telecom lub Pricewert). Jak pokazują wykresy na stronie firmy Marshal odnotowano spadek ilości wysyłanych niechcianych wiadomości i znaczny spadek spamu wysyłanego przez siec botnet o nazwie Pushdo. Czyli generalnie na krótką chwilę znów się nam udało ale zapewne do swojej normalnej formy spamerzy powrócą jeszcze szybciej niż w poprzednim przypadku. Interesujące są dokumenty dowodowe sprawy zawierające na przykład taką ciekawą konwersację (wolne tłumaczenie):
3FN: człowieku jestem w drodze do domu, możemy to przełożyć na jutro?
Customer: przełożmy to, nie skonfigurowaliśmy jeszcze wszystkiego
3FN: okej, macie duży botnet?
Customer: dochodzi do 20 tysięcy aktywnie podłączonych hostów, czasami więcej
3FN: a jak wygląda sprawa od strony geograficznej?
Customer: liczbę 200 tysięcy maszyn przekroczyliśmy dzisiaj, 15% z nich to USA-Europa-Australia
3FN: czaje czyli normalka
Customer: pewnie, boty czekają tylko na Ciebie
3FN: czeka mnie kur.a dużo pracy
W rozprawie uczestniczyło wielu specjalistów od informatyki śledczej, ekipa z ShadowServer, ludzie z firmy Symantec, ludzie z projektu Spamhaus, pracownicy NASA i wielu innych. Tymczasowo sędzia zadecydował o zamrożeniu środków firmy 3FN. Zobaczymy co będzie dalej :]
Znów natarcie kampanii ze złośliwym oprogramowaniem rozsyłanym pod postacią faktury (plik .zip, a w nim .exe :), którą po wypełnieniu należy odesłać do firmy UPS, a wtedy na pewno doślą nam naszą paczkę. Co prawda takie kampanie wydają mi się sensowne w przypadku czasu gdy ludzie dużo kupują (święta, komunie) ale może nie odnotowałem, że gdzieś w świecie właśnie taki czas nastąpił. Otrzymałem 24 wiadomości zatytułowane: Postal Tracking #XXXXXXXXXXXXXXX (gdzie XX to znaki typu: EF15O93342USZ6M czy MGDIZ12746FUVH3). Cała kampania na łącznie 7 skrzynek pocztowych więc część maili doszła kilkukrotnie na poszczególne konta (z różnymi XXX). Sprawna i szybka akcja, wszystkie wiadomości przeszły filtr antyspamowy gdyż ostatnio zmniejszyłem maksymalny rozmiar wiadomości, 
Warto przyglądać się danym, które znajdują się wewnątrz plików złośliwego oprogramowania. Czasami ich autorzy pozostawiają swoiste wiadomości skierowane do na przykład firmy Microsoft lub firm antywirusowych. Umieszczanie swoich postulatów na stronach internetowych nie jest popularną formą gdyż może czasami zostać zdemaskowane, a dzięki takiemu sprytnemu sposobowi istnieje wysokie prawdopodobieństwo, że autor wiadomości pozostanie na wolności. Jak się okazuje podobnych przypadków było już kilka. W jednej z binarek oprogramowania złośliwego Zbot odnaleziono zdanie komentujące artykuł firmy Avira na temat poprzedniego zdania zawartego we wcześniejszej wersji oprogramowania :] W pierwszym przypadku twórca napisał:
Na rynku usług botnetowych istnieje bardzo interesujący gracz jakim jest firma PROmake, która zajmuje się tworzeniem wyspecjalizowanego oprogramowania służącego do wszystkobotnetowania. Jak chwalą się na swojej stronie 
Na przepiękny, przebiegły, przewspaniały, przewyborny przepomysł wpadli dystrybutorzy pewnego złośliwego oprogramowania. Mianowicie postanowili wyjść poza kanwy dzisiejszej internetowej rzeczywistości i zaatakować w “realu”. Wydrukowali fałszywe mandaty informujące o źle zaparkowanych pojazdach na parkingu oraz nakazujące odwiedzenie specjalnej witryny w kierunku postępowania wyjaśniającego! Sam bilet zawierał zdjęcie pojazdów stojących na parkingu w celu uwiarygodnienia dokumentu. Tak przygotowane prezenty umieścili za wycieraczkami aut stojących na parkingu w Grand Forks w Północnej Dakocie. Na polecanej witrynie znajdowała się informacja, iż w celu przeglądania zdjęć lub dodania zdjęć innych źle zaparkowanych pojazdów należy pobrać specjalny pasek narzędziowy. Oczywiście pasek ten to nic innego jak aplikacja ze złośliwym oprogramowaniem (a dokładnie mały program, który pobierał złośliwe oprogramowanie oraz wyświetlał fałszywe komunikaty). Jest to jeden z pierwszych tak interesujących przypadków w historii trojanowania. Wirusy wchodza nawet nie tyle co pod strzechy ale pod wycieraczki :]
