image

Maazben botnet niet bang voor NAT-routers

woensdag 7 oktober 2009, 15:46 door Redactie, 1 reacties

De meeste spambots gebruiken vandaag de dag een template voor het ophalen spamberichten en te spammen adressen, omdat proxy-gebaseerde spambots achter NAT-routers niet goed werken. Toch zijn er nog steeds proxy-gebaseerde bots, die het spamverkeer relayen om zo de werkelijke afzender te verbergen. Sinds enkele maanden is er echter een botnet actief dat over beide eigenschappen beschikt en zich voornamelijk met Casino spam bezighoudt. Standaard is Maazben een proxy-gebaseerde spambot. Zit het achter een NAT-router, dan downloadt het een andere spambot die over een template-gebaseerde engine beschikt. "De botnetbeheerder weet dat het opzetten van een verbinding tussen een proxy-gebaseerde bot achter een router en de controle server lastig is. In andere woorden is dit een rampenplan", zegt Rodel Mendrez van M86 Security Labs.

Adresboek
Eenmaal actief op het systeem downloadt de spambot het template, die een lijst met honderden te spammen e-mailadressen en SMTP servers bevat. Daarnaast verzamelt de malware ook alle adressen die in het Outlook Windows adresboek en tijdelijke internetbestanden zijn opgeslagen. Het controleert ook of het geïnfecteerde IP-adres niet door bekende spam blacklists wordt geblokkeerd.

In een gedemilitariseerde zone of het externe netwerk, heeft de controle server van de spammer geen problemen om met een proxy-gebaseerde bot contact te maken. In dit geval meldt de bot zich bij de server en wacht om inkomend spamverkeer via poort 25 te relayen. De Casino spam wordt vervolgens in verschillende Europese talen afgeleverd. "Proxy-gebaseerde spambots zijn wat ouderwets, maar voor de spammers achter het Maazeben botnet is dit het beste van beide werelden."

Reacties (1)
10-10-2009, 01:09 door Anoniem
Ik zou toch zeggen het slechtste van beide werelden :(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.