Rustock botnet terug van weggeweest

Desondanks ligt de dagelijkse hoeveelheid spam nog altijd flink lager dan voor het afsluiten van de hoster McColo.

Het afsluiten van McColo zorgde twee weken geleden ervoor dat de wereldwijde hoeveelheid spam flink afnam. Maar de botnet-beheerders slaagden erin om tijdens de korte periode da McColo weer online kwam updates te versturen naar (een deel van) de geïnfecteerde computers.

Botnets gered

Vorige week maandag konden deze zombies daarom weer contact leggen met een command & control (C&C) server van de beheerders van Rustock, zo meldt Atif Mushtaq op het blog van het FireEye Malware Intelligence Lab. De geïnfecteerde pc's haalden nieuwe spam-templates op en begonnen reclamemails te versturen voor producten als Viagra en Cialis.

De beheerders van Rustock hebben hun lesje geleerd van de sluiting van McColo. In plaats van een verwijzing naar de IP's van één hosting-aanbieder (zoals McColo) bevat de nieuwe Rustock-variant nu DNS-entries waar de zombie-computer de C&C-servers kan vinden. "Als de C&C-servers onbereikbaar raken, kan de botnet-beheerder simpelweg de DNS-entries aanpassen", schrijft Mushtaq.

'Slechts' 35 miljard spammails

Ondanks de wederopstanding van Rustock wordt er nog altijd een stuk minder spam verstuurd dan voor de ondergang van McColo. Brian Krebs, de verslaggever van de Washington Post die een belangrijke rol speelde bij het afsluiten van McColo, wijst op zijn weblog erop dat het security-bedrijf IronPort maandag 35 miljard spamberichten blokkeerde. Voordat McColo noodgedwongen offline ging, lag dat aantal gemiddeld nog op 160 miljard per dag.

Bron: Techworld.nl