ShadowserverがMega-D Botnet Herderとして引き継ぐ

先週、セキュリティベンダーのFireEyelaは、ボットネットを解体するドライブを手に入れました。これは、世界のスパムメッセージの約4％を一度に送信していたメガDです。感染したコンピュータは、コマンドおよび制御サーバーを通じて新しいスパムキャンペーンの指示と情報を受け取ります。

[詳しい情報：Windows PCからマルウェアを削除する方法]

これは、ハックしたPCを制御する人々、ボットネットの牧師として知られていなかったことを意味していました。もうボットのほとんどに接触しません。メガDからの迷惑メールは、ほとんど完全に停止しました。 FireEyeはまた、牧畜業者がMega-Dにプログラムした第2の冗長性メカニズムを遮断します。

感染したマシンがコマンド・アンド・コントロールサーバーに接続できない場合、ランダムなドメイン名を生成するアルゴリズムがプログラムされています。毎日そのドメインに連絡してみてください。これらの感染したマシンが新しい指示を受けると、FireEyeが制御を失い、再びMega-Dを試してシャットダウンしなければならないことを意味する可能性があります。 FireEyeは、ボットネットの放牧者が制御を取り戻さないように、これらのドメインを登録しています。

しかし、FireEyeはボットネットを追跡するボランティア団体のShadowserverにこれらのボットを制御しています。 Shadowserverの共同設立者、Andre 'M. DiMinoは、 "sinkhole"、またはMega-Dボットが呼び出すコマンド・アンド・コントロールサーバーとして機能するカスタムソフトウェアを実行するコンピュータについて説明します。

Shadowserverは現在Mega-Dに感染した個々のコンピュータを特定し、感染したホストのサービスプロバイダに連絡するプロセス。その目的は、これらのサービスプロバイダーにコンピュータの所有者に連絡を取り、ウイルスをスキャンして感染を取り除き、Mega-Dを根絶するように依頼することです。

「ISPにとっては、加入者レベルで、われわれはそれを理解している」とDiMino氏は語った。 Shadowserverは、感染したコンピュータのリストを定期的に送信しています。サービス提供者が、マシンを特定することは容易ではありません。企業ネットワークでは、何百人ものユーザーに1つの外部IP（インターネットプロトコル）アドレスしか表示されない場合が多く、ユーザーがコンピュータの電源を入れたり切ったりすると、ISPは異なるIPアドレスをPCに割り当てることになる。世界中の50万台のコンピュータがメガDに感染していると推定されているため、最大のボットネットではありません。 FireEyeのブログによると、Confickerは、例えば、700万台のマシンに感染していると推定されています。

ブラジルは、メガデスの全感染の11.5％を占めています。 DiMino氏によると、Shadowserverはネットワークプロバイダーと協力することができるブラジルを含め、世界中のコンピューター緊急対応チームと緊密に連携していると話している。

Mega-Dが完全に死ぬことはできなくても、 "ディミノは言った。

"我々はその効果が何であるかを見るだろう "と彼は言った。 "陪審員はまだ出ている"