W końcu ktoś to napisał otwarcie i bez strachu. Odnosiłem podobne wrażenie już od jakiegoś czasu ale zawsze czas okradał sam siebie nie zostawiając go dla potwierdzenia tej tezy. Jak twierdzą na swoim blogu specjaliści z firmy FireEye, jest wysoce prawdopodobne, że pierwsza trójka botnetów trudniących się wysyłaniem SPAMu (ponad 70% całego SPAMu jest wysyłane właśnie przez te 3 botnety) – to jedna i ta sama szajka.
W kontrolowanych środowiskach zostały umieszczone próbki z botnetów Srizibi, Pushdo i Rustock, w celu wyodrębnienia adresów IP serwerów zarządzających (C&C). Jak się okazało pierwsza trójka posiada swoje serwery w kolokacji jednej i tej samej firmy. Jakby tego było mało, najczęściej w tych samych podsieciach. Może to jasno świadczyć o tym, że botnety są kontrolowane przez jednego operatora, albo że dostawca ISP ma wydzieloną klasę dla „specjalnych” klientów.
Najprawdopodobniej całość procederu wygląda tak:
- Botnet Rustock wysyła SPAM zachęcający do pobrania filmu video (naga Paris Hilton itp.)
- Pseudo kodek to Trojan.Exchanger, którego zadaniem jest pobranie głównej aplikacji czyli najczęściej macki botnetu Srizbi.
W ostatnich dniach zastanawiał mnie fakt, że różne botnety bardzo szybko wykorzystywały te same techniki, jak choćby na „fałszywy program antywirusowy” lub na „sławne gwiazdy w wersji bez ubrania”. Jak widać w takim rozumowaniu mogło być trochę prawdy. Z drugiej strony możliwe jest, że jedni drugich bacznie obserwują i jeśli uznają czyjeś rozwiązanie za lepsze – wykorzystują je. Być może kiedyś poznamy całą prawdę…
2 komentarze do
27 sierpnia, 2008 o godzinie 22:26
Hmm, ciekawe, ale fajnie gdyby podali precyzyjniej klase, a nie zamazali :)
28 sierpnia, 2008 o godzinie 16:20
Dla chcącego nic trudnego :] Zamazanie jest skromne więc jedno dobre zapytanie do google i będziesz znał klasy :]