Botnetbestrijder FireEye meldt dat Rustock en Srizbi – de grootste botnets gemeten naar spam-output – gebruikmaken van hetzelfde Trojaanse paard (Trojan.Exchanger) om hun updates binnen te halen. Opmerkelijk is ook dat Srizbi en Rustock worden aangestuurd vanaf servers die bij dezelfde provider zijn ondergebracht. In veel gevallen maken de beheerders van Srizbi en Rustock gebruik van IP-adressen op hetzelfde subnet. Dat lijkt overigens ook te gelden voor de botnets Pushdo en Mega.D – de nummers drie en vier op de lijst van grote spamversturende botnets.

Aanwijzingen dat Srizbi en Rustock het een en ander met elkaar te maken hebben, doken al eerder op. Zo verstuurden de Rustock- en Srizbi-netwerken in juni allebei spamruns met links naar dezelfde exploit-pagina's. Het security-bedrijf Marshal beschouwde dat destijds al als een belangrijke aanwijzing dat de beheerders van Rustock en Srizbi samenwerken of zelfs dezelfde mensen zijn.

Rustock en Srizbi spammen ook regelmatig voor dezelfde producten en diensten. In februari verstuurden ze bijvoorbeeld reclamemails voor 'express herbals'-sites. En vorige maand begonnen ze hun mailcampagnes voor een nep-virusscanner. Overigens werden de 'express herbals' en de kwaadaardige virusscanner niet alleen via de bots van Rustock en Srizbi onder de aandacht gebracht. Mega.D en het Grum-botnet waren verantwoordelijk voor vergelijkbare spamruns. Dat verschillende botnets dezelfde spam versturen, hoeft niet per se te wijzen op samenwerking: een spammer kan (tegen betaling) gebruikmaken van diverse botnets om zijn product te pluggen.

Hoewel de verbanden tussen de verschillende botnets opmerkelijk zijn, is er geen sprake van dat de verschillende botnets één groot netwerk zijn. Rustock en Srizbi hebben aparte legers van zombies. Bovendien is de infrastructuur waarmee de geïnfecteerde computers worden aangestuurd, ook verschillend. Als de botnets inderdaad in handen zijn van één bende, dan lijkt er sprake van risicospreiding.

Bron: Techworld.nl