Srizbi staat op, om weer plat te gaan

Dat meldt het security-bedrijf Marshal dat de grote botnets nauwgezet in de gaten houdt. Onderhand is de wederopstanding van Srizbi weer neergeslagen. Volgens Marshal vielen de spam-activiteiten van Srizbi tot dan toe nog mee. De beheerders van Srizbi kregen de zombie-computers die ze eerder hebben geïnfecteerd, langzaam maar zeker weer onder controle.

Srizbi had een backup-plan voor het geval dat de control & command (c&c) servers van het botnet onbereikbaar zouden worden. De malware bevat een algoritme dat nieuwe webadressen genereert waar de bots nieuwe instructies kunnen ophalen. De security-onderzoekers van FireEye ontcijferden de opdrachten van Srizbi en registreerden de betreffende domeinen.

Deze strategie was echter niet vol te houden: FireEye zou wekelijks meer dan 450 domeinen moeten claimen om de botnet-beheerders de wind uit de zeilen te nemen. Op 24 november stopte FireEye daarom met het registreren van domeinen. Een dag later konden onbekenden uit Rusland hun slag slaan. Zij registreerden de internetadressen en konden Srizbi weer nieuwe opdrachten verstrekken.

Een plan om via de door FireEye geregistreerde domeinen de bij Srizbi aangesloten bots te instrueren om de malware te de-installeren, haalde het ook niet. Een dergelijke actie zou illegaal zijn en mogelijk verkeerd kunnen aflopen voor de geïnfecteerde computers, redeneerde FireEye.

Voor Srizbi duurde de wederopstanding niet lang; een dag na het weer online gaan van het botnet heeft de nieuwe ISP voor Srizbi de controleservers alweer offline gehaald. Starline Web Sevices, een erg kleine ISP uit Estland, bleek vier control points van Srizbi te hosten. De ISP ondernam actie nadat het Estse Computer Emergency Reponse Team (CERT) een klacht bij het bedrijf had ingediend.