WNZ: Rygte: OS X 10.8 introduceres i juniWNZ: Hemmeligt facelift til iPad 2WNZ: Apple overvejede fysisk tastatur til iPhone
Diablo III's Real-Money AH rykkes til "soon"-tidsramme på grund af lanceringsproblemerSquare Enix: Activision må være tossede for at droppe True Crime: Hong KongAnalytiker: Grand Theft Auto 5 sælger mindst 14 millioner eksemplarerMinecraft rammer 9 millioner solgte eksemplarerNy, lang gameplay-trailer til Sleeping DogsNy gameplay-video fra Sniper: Ghost Warrior 2 tager os til BosnienJapansk lanceringstrailer til Anarchy ReignsHvornår har du sidst været til LAN?
27. nov. 2008 14:13For to uger siden kunne der registreres et markant fald i mængden af spam-mails på nettet, da internetforbindelsen til hostingfirmaet McColo blev klippet. Nu er mængden af spam igen stigende, efter at botnettet, som blev styret af servere hostet hos McColo, har fået nye servere.
Det var det omfattende Srizbi-botnet, der fik skåret akillessenen over, hvorfor der næsten ikke har været nogen aktivitet i nettet siden. Nu er nye kontrolservere kommet online i Estland, og botnettet er igen begyndt at udsende spam.
Forskere har hele tiden forventet, at botnettet igen ville blive vakt til live, idet Srizbi har indbygget en tilbagefaldsfunktion. Når Srizbi ikke kan tilgå sine kontrolservere, så søger nettet efter nye servere på automatisk genererede domæner.
Sikkerhedsfirmaet FireEye fandt ud af den algoritme, som nettet danner domænenavne ud fra og købte dem, inden de kriminelle gjorde det. På den måde kunne de forhindre Srizbi i at finde nye kontrolservere, men måtte droppe indsatsen, idet det blev for dyrt konstant at opkøbe domænenavne.
Resultatet er, at de kriminelle igen har fået kontrol over botnettet, der omgående blev sat til at udsende nyt spam.
27. nov. 2008 14:20
Jeg kan personligt mærke en stigning i min spam folder i denne uge :/ fandme træls
27. nov. 2008 14:21
Når nu FireEye havde kontrol med botnettet, hvorfor brugte de så ikke botnettet til at lade det begå selvmord (ved automatisk at hente og afvikle en fil der dræber klienten i den inficeredes PC)...?
// www.FotoStart.dk //
27. nov. 2008 14:21
Ville det ikke være muligt at hapse et par domæner og holde fat i botnettet så det ikke søger nye udfordringer?
Alt er bare et spørgsmål om moment.
27. nov. 2008 14:24
#2,
Jeg tror ikke de havde kontrol? - Havde de ikke bare fundet en metode til at holde det i skak?
"You're all a bunch of analgazers!" - My girlfriend
27. nov. 2008 14:33
#4 Der står i artiklen, at de havde fundet algoritmen til at vide, hvilke domæner den ville afsøge, nu når den var blevet afskåret. Ved at sætte deres eget kontrolsystem op på dét domæne, så ville de jo kunne fastholde botnettet i en zombie-tilstand, sådan at det ikke søger flere domænenavne, da den så tror der er kontakt allerede. Det ville jo have været smart.
Og ja trist man igen kan mærke den stærkt øgede spamtrafik :-( Håber de får lukket det ned i Estland, nu når én udbyder står for SÅ meget af alt spam.
www.ordbogen.com - Danmarks største online-ordbog
27. nov. 2008 14:40
De personer som sidder og laver et sådanne botnet dem fatter jeg ikke.
Hvis de er så gode at de kan skrive et system som er så svært at stoppe, hvor bruger de så ikke kræfterne på at skrive noget godt opensource halløj eller hva ved jeg? Hvorfor være hadet af samtlige email brugere når man kunne være elsket for at have lavet noget super godt software af en art??
Skal lige siges at jeg ikke er klar over om det spam som omtales er sådan noget som dumme mennesker hopper på og begynder at sende penge til.?
"CHKDSK x: /f /r" saved my life.
27. nov. 2008 14:43
Jo, det kunne have været smart hvis FireEye havde sendt en Kill() kommando eller lignende - men uden at have alt for meget styr på botnets kunne jeg forestille mig at udviklerne har sat et password/kryptering af en art på, som man ikke nødvendigvis kan bryde blot fordi man har kildekoden til botten... Ellers tror jeg da også at FireEye ville have gjort det...;)
Desuden, for nyligt var der et firma/universitet/nogle forskere (kan ikke huske det nøjagtigt) der fik kontrol med en lille del af et botnet. De ændrede så lidt i spam-meddelelserne så evt købere blev jokket over til en "falsk" side, hvor forskerne så kunne følge med i hvor mange der rent faktisk havde i sinde at købe ting annonceret i spam-mails. Det kunne faktisk temmelig godt betale sig...
http://news.slashdot.org/article.pl?sid=08/11/08/1437225
http://voices.washingtonpost.com/securityfix
/2008/11/study_spam_still_profitable_at.html
27. nov. 2008 14:45
#6 Fordi de er drevet af grådighed. Det er en millionindustri og der er ikke ret mange om buddet. De fleste af os kan heldigvis bedst lide, at arbejde med noget, som kommer verden til gode. Men nogen kan godt lokkes til "the dark side", hvis de får nok millioner ud af det... desværre.
www.ordbogen.com - Danmarks største online-ordbog
27. nov. 2008 15:02
"Når Srizbi ikke kan tilgå sine kontrolservere så søger nettet efter nye servere på automatisk genererede domæner"
Undskyld jeg spørg dumt men hvad/hvordan skal det teknisk forståes at der er automatisk genererede domæner ? Troede man skulle registres 2 steder for at få et domæne.
Corporation. An ingenious device for obtaining individual profit without individual responsibility. /Ambrose Bierce
27. nov. 2008 15:17
#9
Botnettet registrer ikke domæner. Algoritmen danner bare tilfældige domænenavne hvor botnettet så forsørger at finde en server. Fidusen er at bagmændene også har en kopi af algoritmen så de kan forudse, hvilke domæner botnettet prøver at forbinde til.
Altså ved de at i dag kl det og det vil botnettet prøve at forbinde til en server på domænet xyz.com. Så er det bare et spørgsmål om at opkøbe domænet lidt i forvejen.
Ret snedigt. Man kunne bare ønske at de ville bruge deres snilde på noget mere konstruktivt.
27. nov. 2008 15:21
Jo, det kunne have været smart hvis FireEye havde sendt en Kill() kommando eller lignende - men uden at have alt for meget styr på botnets kunne jeg forestille mig at udviklerne har sat et password/kryptering af en art på, som man ikke nødvendigvis kan bryde blot fordi man har kildekoden til botten... Ellers tror jeg da også at FireEye ville have gjort det...;)
Desuden, for nyligt var der et firma/universitet/nogle forskere (kan ikke huske det nøjagtigt) der fik kontrol med en lille del af et botnet. De ændrede så lidt i spam-meddelelserne så evt købere blev jokket over til en "falsk" side, hvor forskerne så kunne følge med i hvor mange der rent faktisk havde i sinde at købe ting annonceret i spam-mails. Det kunne faktisk temmelig godt betale sig...
http://news.slashdot.org/article.pl?sid=08/11/08/1437225
http://voices.washingtonpost.com/securityfix
/2008/11/study_spam_still_profitable_at.html
sonicwave (#7)
Det blev også omtalt her på newz.dk:
http://newz.dk/kun-0-00001-af-spam-mails-besvares#new
Without facts, you are just another person with an opinion!
27. nov. 2008 15:24
#11 Syntes nok jeg havde set det her også - men søgte kun på artikler tagged med 'botnet' - og det er den omtalte artikel af en eller anden grund ikke...;)
27. nov. 2008 15:45
#1
Samme her.
Jeg synes faktisk, at der kommer flere end før nedgangen.
27. nov. 2008 17:12
Jeg har lige slettet 40 spam-kommentarer på min Wordpress-blog. Jeg får normalt slet ikke spam på den blog.
27. nov. 2008 17:59
Jo, det kunne have været smart hvis FireEye havde sendt en Kill() kommando eller lignende - men uden at have alt for meget styr på botnets kunne jeg forestille mig at udviklerne har sat et password/kryptering af en art på, som man ikke nødvendigvis kan bryde blot fordi man har kildekoden til botten... Ellers tror jeg da også at FireEye ville have gjort det...;)
Desuden, for nyligt var der et firma/universitet/nogle forskere (kan ikke huske det nøjagtigt) der fik kontrol med en lille del af et botnet. De ændrede så lidt i spam-meddelelserne så evt købere blev jokket over til en "falsk" side, hvor forskerne så kunne følge med i hvor mange der rent faktisk havde i sinde at købe ting annonceret i spam-mails. Det kunne faktisk temmelig godt betale sig...
http://news.slashdot.org/article.pl?sid=08/11/08/1437225
http://voices.washingtonpost.com/securityfix
/2008/11/study_spam_still_profitable_at.html
sonicwave (#7)
Det var Storm botnetværket. Det er dog ved at dø godt ud, da der ikke har været nogen rigtig aktivitet på det de sidste 4-5 uger.
Artiklen nævner ikke noget om at både Srizbi OG Rostock botnettet der blev hosted hos McColo. McColo nåede at komme online sidste weekend, igennem en Telia reseller, i ca 24 timer. Mens Rostock botnettet ikke har samme algorithme som Srizbi nåede folkene bag denne at få et par tusinde af deres zombies opdateret til en ny CC server. Det kan yderligere nævnes at McColo hostede mellem 40 og 50 børneporno sider.
Der kan læses meget meget mere om McColo og Srizbi/Rostock botnettet her.
LEVEL3.Net
27. nov. 2008 18:09
Der er sq da lidt Skynet(Hint: Terminator) over det her, er der ikke? :) Holder sig selv i live osv..
Anyways, hvorfor var FireEye ikke gået til myndighederne med deres info? Jeg mener, det er jo en kæmpe samfundsøkonomisk problem det her spam. Så mon ikke de kunne have fået nogle penge til domæner?
The only thing necessary for the triumph of Evil, is for good men to do nothing - Edmund Burke(1729-97)
27. nov. 2008 19:47
Man skulle hellere have luret på, hvem køber de genererede domænenavne at pågribe dem...
#6 << De er jo ikke personligt hadede; ingen modstander af spam ved, at de står bag.
27. nov. 2008 20:19
Når nu FireEye havde kontrol med botnettet, hvorfor brugte de så ikke botnettet til at lade det begå selvmord (ved automatisk at hente og afvikle en fil der dræber klienten i den inficeredes PC)...?
jakobdam (#2)
Jeg mener det var i Holland de havde muligheden for at lave lige præcis det nummer. Men det er ikke lovligt.
Maybe the dingo ate your baby!
27. nov. 2008 22:04
Der er sq da lidt Skynet(Hint: Terminator) over det her, er der ikke? :) Holder sig selv i live osv..
Anyways, hvorfor var FireEye ikke gået til myndighederne med deres info? Jeg mener, det er jo en kæmpe samfundsøkonomisk problem det her spam. Så mon ikke de kunne have fået nogle penge til domæner?Seth-Enoch (#16)
Ifl. den rapport jeg linker til i min tidligere kommentar står der at flere virksomheder og institutioner har kontaktet flere myndigheder omkring dette.
LEVEL3.Net
28. nov. 2008 00:49
Inden de fik lukket McColo lå vores samlede clean mails på gennemsnitlig 10% af alle indkommende mails på min arbejdsplads. Gennem de sidste mange dage har vi været helt oppe på 50% clean mails. Ærgeligt hvis det ryger op på samme niveau igen, som før.
28. nov. 2008 10:41
Det kom hurtigere end jeg regnede med, dagens statestik: 3% clean mails :(
Godt vi har et effektiv filter.
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
