Provider sneuvelt in actie tegen botnet

Afgelopen dagen werd door de beheerder van Zeus Tracker ineens een geweldige vermindering van de actieve C&C servers opgemerkt. Hij meldt op Abuse.ch dat eerst dacht dat er iets mis was met Zeus Tracker. Maar dat bleek niet het geval. Troyak, de upstream provider van de 6 meest beruchte internet service providers (isp's), met in totaal 68 command-and-control-servers (c&c), was afgesneden van het internet.

Daarnaast meldt Abuse.ch dat ook Group-3, met 22 c&c-servers offline is. Group-3 gebruikt de Oekraïnse upstreamprovider Ihome, en heeft dus niet te maken met Troyak. The Register meldt dat het offline halen van de Group-3-servers een gezamenlijke actie is van Ihome en het Russische Oversun Mercury.

Weer online

Tegen Brian Krebs vertelt de beheerder van Zeus Tracker dat elke c&c-server gemiddeld zo'n 20.000 tot 50.000 zombie-pc's aanstuurt. Die pc's zijn nog steeds geïnfecteerd, maar het is niet waarschijnlijk dat de beheerders de controle erover terug kunnen krijgen zonder Troyak. De provider leek immuun voor de autoriteiten, en dus hebben de beheerders waarschijnlijk geen reservekopie gemaakt bij andere ISP's.

Inmiddels is Troyak weer online. Abuse.ch meldt dat het een nieuwe upstream provider heeft gevonden. Een woordvoerder van de Troyak zegt in een e-mail naar de IDG News Service dat de storing een gevolg was van een administratieve fout. Maar volgens Zeus Tracker gaat het aantal c&c-servers nog steeds omlaag. Tot nu toe zijn er zeker 104 onbereikbaar voor hun zombies.

Meer actie

Het is niet de eerste keer dat het neerhalen van isp's succesvol is geweest tegen botnets. Iets meer dan een jaar geleden werd McColo offline gehaald door zijn upstream provider. Daardoor kelderde de hoeveelheid spam dramatisch, omdat de c&c-servers niet meer bereikt konden worden.

Recentelijk zijn ook andere botnets hard aangepakt. Waledac werd door Microsoft onthoofd, en de beheerders van Mariposa werden door de Spaanse politie opgepakt.

Bron:Techworld.nl