Servers zijn in beslag genomen bij vijf hostingproviders in zeven steden: Kansas City, Scranton, Denver, Dallas, Chicago, Seattle en Columbus. Ook zijn de ip-adressen achterhaald van degenen die het botnet bestuurden. Die zijn afgesloten.

Nederlanders helpen mee

Microsoft werkte samen met de High Tech Crime Unit van de Nederlandse politie om delen van botnet buiten de Verenigde Staten te ontmantelen. Via CN-Cert zijn domeinen in China geblokkeerd die mogelijk door de botnetbeheerders in reserve werden gehouden als toekomstige command & controlservers.

De Nederlandse cybercops zijn inmiddels goede bekenden van de Amerikaanse justitie nadat er eerder is samengewerkt in het neerhalen van Bredolab en het opsporen van de verantwoordelijken achter dat botnet.

Het botnet heeft miljarden emails per dag gestuurd met onder meer aanbiedingen voor namaak medicijnen en valse Microsoft loterijen. Microsoft kwam het botnet op het spoor nadat het een jaar geleden een ander, iets kleiner, botnet had opgerold. Uit het onderzoek naar dat botnet, Waledac genaamd, kwamen aanwijzingen naar Rustock.

Project Mars

Microsofts anti-botnetteam, bekend onder de naam Project Mars (Microsoft Active Response for Security) dook op de nieuwe prooi en verbrak allereerst de communicatie tussen de c&c-servers en de geïnfecteerde computers in het net. Daarna werd een gerechtelijk bevel gehaald bij de rechtbank in Washington om invallen te kunnen doen bij de hosting providers die de c&c-servers onder dak hadden.

De operatie, door Microsoft Operation b107 genoemd, heeft enkele maanden geduurd omdat de infrastructuur van Rustock veel gecompliceerder in elkaar zat dan bij Waledac. Er werd niet zozeer gebruik gemaakt van domeinnamen en peer-to-peer c&c-servers, maar veelal van hard gecodeerde ip-adressen. Om te voorkomen dat het botnet snel naar een andere infrastructuur zou verhuizen, is gekozen voor het ter plekke in de datacenters vergaren van fysiek bewijs en in sommige vallen, het in beslag nemen van de eerder genoemde servers.

30 miljard spammails per dag

Rustock heeft op zijn hoogtepunt 30 miljard spammails per dag verzonden. Een losse computer werd geobserveerd terwijl deze 7500 spammails in 45 minuten verzond, een theoretische hoeveelheid van 240.000 mails per dag.

Omdat veel van die spammails namaakmedicijnen aan de man probeerden te brengen, werkte Microsoft in dit geval samen met farmaceutisch fabrikant en Viagramaker Pfizer. Volgens Symantec was het Rustock botnet de grootste bron van spam vorig jaar en zeker goed voor de helft van alle spam.