本周超过24小时,这是一个问题,很少有安全专家可以回答:曾被世界上最糟糕的垃圾邮件僵尸网络离线?
感染后接近一百万台电脑,垃圾邮件每天多达300亿多余的电子邮件消息,Rustock僵尸网络沉默了11点左右。美国东部时间周三。
现在我们知道的原因:一小群计算机研究人员,由微软的律师、美国执法官和国际执法人员,执行一些外科手术打击僵尸网络。打它,就好像它是神话中的九头蛇,他们切断了僵尸的头,其指挥和控制服务器,烧焦他们保持他们的复发。现在微软正在帮助清理受感染电脑在僵尸网络的主人有机会重新控制自己的僵尸网络。
与癫痫权证在他们的手中,美国执法官支持,微软的律师来到五托管提供商在美国堪萨斯市等城市斯克兰顿周三丹佛、达拉斯和芝加哥,“成功切断控制了僵尸网络的IP地址,切断通讯和禁用它,”微软说博客发布。
僵尸网络是一个令人讨厌的软件。它给罪犯控制受感染的机器发送垃圾邮件,攻击另一台计算机或监视的受害者。它的安装是诱使受害者访问恶意网站或打开一个特殊编码的电子邮件附件,很难检测和删除。
僵尸网络发送药品垃圾邮件而臭名昭著,和它的灭亡将进一步削弱全球垃圾邮件的数量已从另外两个主要的垃圾邮件僵尸网络,Pushdo和Bredolab去年年底,被离线。
Rustock拆卸——的几个现在在工作——互联网社区抛光技术,摆脱复杂的全球网络的恶意电脑,巴里·格林说,互联网软件协会的主席,制造商的绑定域名系统(DNS)软件。这都是几个月前开始的,一大群互联网研究人员观察到僵尸网络和开发技术来摧毁它。然后一个小得多的受信任组委派的工作管理与执法拆卸。
在这种情况下,行动是由微软在安全厂商FireEye的帮助下,华盛顿大学的制药商辉瑞公司和荷兰警察。而不是使用刑事司法系统,微软对僵尸网络的匿名运营商提起民事诉讼,法庭命令让他们抓住服务器用于控制僵尸网络,和荷兰警察记下了服务器以外的美国
微软曾与一年前民事法庭和研究人员采取另一个僵尸网络,Waledac,但Rustock僵尸网络更加复杂,不仅涉及许多服务器的发作,但也在DNS级别一些棘手的工作。
因为感染僵尸网络的机器有一个B计划时连接到控制器上特定的互联网领域的常规指挥和控制服务器离线,微软还不得不与中国当局合作,阻止僵尸网络的运营商建立新域名。
僵尸网络使用一个巧妙的算法来生成网站的名称,它试图联系新指令时其常规指挥和控制服务器离线。被感染的计算机将去预定的每日新闻网站——例如Slashdot和生成一个特殊的“种子”页面上的数量根据所发现。种子数量然后加密,让坏人的名字域,僵尸将尝试连接到。这使得它不可能提前想域名。微软似乎是阻止那些新域名注册,但脚下一滑,僵尸网络的创建者会回来。
僵尸网络是“被抑制;说:“这不是真的被乔·斯图尔特研究员戴尔SecureWorks单位。“如果他们停止监控这些领域可以在几个小时之内回来。”
这是一个真正的问题,因为僵尸的创造者——黑客只有他在线处理,PE386——仍逍遥法外。这意味着他和他的同事可能会返回,托尔斯滕Holz表示,波鸿-鲁尔大学助理教授。“只要攻击者自由运行,只是打地鼠,”他说。“我希望在这种情况下,一些逮捕。”
研究人员花了数月时间,煞费苦心地调查僵尸网络,虽然他们可能认为他们知道它是如何工作的,一个全面的可拆卸的旅行到未知的水域。“我们都说经济复苏在哪儿?”Greene said. "Are they going to try and regain control over it? It's like atom-smashing. You do this very primitive thing: you smash the atom. And then you watch for after effects."
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com