Afgelopen dagen werd door de beheerder van Zeus Tracker ineens een geweldige vermindering van de actieve C&C servers opgemerkt. Hij meldt op Abuse.ch dat het eerste wat in hem opkwam was dat er iets mis was met Zeus Tracker. Maar dat bleek niet het geval. Troyak, de upstream provider van de 6 meest beruchte ISP’s, met gezamenlijk 68 C&C servers, was afgesneden van het internet.

Group-3

Daarnaast meldt Abuse.ch dat ook Group-3, met 22 C&C servers offline is. Dat heeft echter niets te maken met Troyak, omdat die een andere upstream provider heeft. De upstream provider van Group3 is het Oekraïense Ihome, die ook wordt genoemd door The Register. Dat meldt dat deze actie tegen C&C servers gezamenlijke is uitgevoerd door Ihome en het Russische Oversun Mercury.

Tegen Brian Krebs vertelt de beheerder van Zeus Tracker dat elke C&C server gemiddeld zo'n 20.000 tot 50.000 zombie pc's aanstuurt. Die pc's zijn nog steeds geinfecteerd, maar het is niet waarschijnlijk dat de beheerders ervan de controle erover terug kunnen krijgen zonder Troyak. Dat leek immuun voor de autoriteiten, en dus hebben de beheerders waarschijnlijk geen reservekopie gemaakt bij andere ISP's.

Weer online

Ondertussen is Troyak overigens weer online. Abuse.ch meldt dat het een nieuwe upstream provider heeft gevonden. Een woordvoerder van de ISP zegt in een e-mail naar de IDG News Service dat de storing een gevolg was van een administratieve fout. Maar volgens Zeus Tracker gaat het aantal C&C servers nog steeds omlaag. Tot nu toe zijn er zeker 104 niet bereikbaar voor hun zombies.

Meer actie

Het is niet de eerste keer dat het neerhalen van ISP’s succesvol is geweest tegen botnets. Iets meer dan een jaar geleden werd McColo offline gehaald door zijn upstream provider. Daardoor kelderde de hoeveelheid spam dramatisch, omdat de C&C servers niet meer bereikt konden worden.

Recentelijk zijn ook andere botnets hard aangepakt. Waledac werd door Microsoft onthoofd, en de beheerders van Mariposa werden door de Spaanse politie opgepakt.

Bron: Techworld