Усилиями компании FireEye несколько дней назад удалось завалить ботнет Mega-D, известный также как Ozdok. Пастухам этой зомби-сети не помогли защитные меры, которые те предприняли после удара, полученного в результате прошлогоднего закрытия провайдера McColo. Как пояснил Атиф Муштак (Atif Mushtaq) из FireEye, Ozdok был вырублен в течение суток. Для этого компании пришлось сотрудничать с провайдерами и доменными регистраторами, что привело к блокировке IP-адресов и закрытию доменов, связанных с контролирующими центрами ботнета. Впрочем, часть контролирующих центров пока продолжают функционировать. Владельцы Ozdok предприняли некоторые меры на случай подобных действий. В частности, зомби-компьютеры пытаются связываться с несколькими десятками доменных имён для получения инструкций по рассылке спама. Более 25 из этих доменов ещё не были зарегистрированы, чем и воспользовались сотрудники FireEye, не пожалевшие средств на их регистрацию на себя. Тем не менее у Ozdok имеется и "План Б": ежедневно боты генерируют одно доменное имя, с которым пытаются связаться в случае, если все прочие домены не отзываются. Специалисты FireEye, зная алгоритм генерации этих имён, зарегистрировали соответствующие домены на некоторое количество дней вперёд. Фактически боты Ozdok в настоящее время пытаются связываться с сервером, который контролируется FireEye. Это, в частности, позволяет грубо оценить размеры ботнета: за одни сутки было насчитано более 260 тысяч уникальных IP-адресов, откуда поступали запросы к перехваченному контролирующему центру. В M86 Security Labs, где постоянно мониторят активность ботнетов, отмечают, что уровень спама, генерирующегося сетью Ozdok, резко снизился примерно 6 ноября и вчера упал до нуля.
Подробнее