W sierpniu 2010 roku grupa badaczy zdobyła władzę nad 13 serwerami zarządzającymi oraz 3 serwerami produkcyjnymi siecią botnet Pushdo/Cutwail. Szczegółowo opisali wyniki badań w raporcie. Z ciekawostek należy wymienić:
- szacuje się, że właściciele botnetu zarobili od 1.7 miliona dolarów do 4.2 miliona dolarów od czerwca 2009 r (do sierpnia 2010 czyli około 130 tysięcy dolarów miesięcznie)
- 1 milion adresów mailowych oscylował w graniach 25-50 dolarów, z możliwością cen rabatowych w przypadku większych zakupów
- instalacja złośliwej aplikacji na tysiącu komputerów z Azji kosztowała około 13$, z Europy 35$ oraz 125$ dla Stanów Zjednoczonych
- ceny zainfekowanych komputerów zależały także od reputacji adresów IP na czarnych listach oraz możliwego maksymalnego czasu online danego bota
- przed zakupem można było przyjrzeć się darmowej, testowej kampanii ukazującej skuteczność wysyłki
- wysłanie 1 miliona wiadomości kosztowało od 100 – 500 dolarów
- każdy trojan spamujący zbiera statystyki dotyczące samego siebie i przesyła je do serwerów zarządzających
- komunikacja z serwerami jest szyfrowana
- udało się im przechwycić kopię forum spamerskiego Spamdot.biz, uzyskując tym samym dostęp do informacji na temat, cen, promocji i akcji związanych ze spamowaniem
- w roku 2007 Cutwail z prostego botnetu komunikującego się za pomocą protokołu HTTP zamienił się w bestię komunikującą się z użyciem własnego, szyfrowanego protokołu
- słownik zawierający pozycje (regenerowane losowo) pola Od nagłówka mailowego zawierał 71 377 pozycje
- opcjonalnie botom przesyłane były dane uwierzytelniające do serwisów pocztowych, wykradzione z innych komputerów – dane te wykorzystywane były w specjalnych kampania spamerskich wysokiej jakości
- silnik spamowy był tak skonstruowany, że osoby wykupujące kampanie spamerskie mogły same układać treści (oraz praktycznie każdą część maila) swoich kampanii z użyciem zwykłych stron WWW, w przypadku problemów kupujący mógł skontaktować się z pomocą techniczną
- każdy serwer zarządzający posiadał darmowe oprogramowanie antyspamowe SpamAssassin, na którym testowane były nowe wiadomości przed wysłaniem
- zebrali 2.35 TB danych, 24 bazy danych z informacjami statystycznymi, miliardy adresów mailowych, kody źródłowe botów itp.
- najwięcej zainfekowanych maszyn było z Indii (38%), następnie Australii (9%), Rosji (4%), Brazylii (3%) i Turcji (3%)
- najwięcej błędów zwrotnych podczas wysyłania spamu dotyczyło błędnego adresu e-mail (53.3%), następnie obecności na czarnych listach (16.9%), dodatkowych błędów serwera pocztowego (11.8%), przekroczenia czasu połączenia (11.3%), 3% serwerów informowała wysyłających, że wiadomości to spam
- skuteczność dostarczanego spamu wynosiła około 30%
- od 30 czerwca do 25 sierpnia 2010 roku zostało poprawnie wysłanych i odebranych ponad 87 miliardów wiadomości co daje około 1.5 miliarda poprawnie wysłanych wiadomości ze spamem dziennie! przy czym do obliczeń zostały wykorzystane wyłącznie przejęte serwery, a nie wszystkie
- inne statystyki wykazują, iż z wysłanych 1 708 054 952 020 (prawie dwa biliony) wiadomości i 516 852 678 718 (500 miliardów aka pół biliona) zostało poprawnie odebranych
- boty samoczynnie odpytywały serwisy dotyczące czarnych list aby sprawdzać reputację swoich adresów IP
- godzinę po momencie rozpoczęcia spamowania wyłącznie 12.8% adresów IP znajdywało się na czarnych listach, po dwóch godzinach było to 29.6%, po trzech 46.4%, po 6ciu 75.3% i po 18 godzinach ponad 90% adresów IP było obecnych na systemach czarnych list
- aby dostać się do forum spamerskiego należało zostać poleconym przez 3 osoby z forum posiadające odpowiednią liczbę wpisów lub 2 osoby z grona zaawansowanego
- ponad 90% forumowiczów używało jako głównego języka rosyjskiego
- forum posiadało 1 929 zarejestrowanych użytkowników
2 komentarze do
29 marca, 2011 o godzinie 12:04
Borysie, w punkcie 13, tj. „silnik spamowy był tak skonstruowany, że osoby wykupujące kampanie spamerskie mogły same układać treści (oraz praktycznie każdą część maila) swoich kampanii z użyciem zwykłych stron WWW, w przypadku problemów kupujący mó” <— ucięty fragment treści.
29 marca, 2011 o godzinie 12:38
Poprawione.
Dzięki!