Het Pushdo spambotnet is met name dankzij Amerikaanse en Chinese hostingproviders weer actief. Dit weekend lieten onderzoekers van LastLine weten dat ze het botnet, dat voor ruim elf procent van alle spam op het internet verantwoordelijk is, een gevoelige slag hadden toegebracht. In totaal waren er dertig command & control servers gelokaliseerd, waarvan er uiteindelijk twintig uit de lucht werden gehaald. De overige tien bleven operationeel, omdat de betreffende hostingproviders niet meewerkten.
Het was de derde poging om het Pushdo botnet uit te schakelen en wederom tevergeefs. Atif Mushtaq van FireEye Malware Intelligence Lab bracht de servers in kaart die op dit moment nog operationeel zijn. Het gaat om vier Chinese en drie Amerikaanse hostingproviders, alsmede providers uit Luxemburg, Rusland en Duitsland.
Back-up
"Waarschijnlijk zullen de botnetbeheerders niet naar een nieuwe command & control server verhuizen. Er is geen haast, aangezien de Pushdo back-up servers nog steeds operationeel zijn." Volgens Mushtaq wachten de criminelen totdat het wat rustiger wordt. In de tussentijd zoeken ze nieuwe C&C-servers en zullen ze stilletjes besmette systemen updaten. "Het succes of falen van deze pogingen, zijn afhankelijk van wat de security-gemeenschap na deze actie doet."
Mushtaq merkt op dat er verschillende Pushdo-varianten actief zijn en dat van de C-variant de infrastructuur nog steeds helemaal intact is. Gisterenavond stuurde één van de C&C-servers een nieuw spam-template uit. "Helaas zorgde de poging om Pushdo te sluiten dat diens spam twee dagen vertraagd werd. Ze zijn dit keer echt gered door de back-up C&C-servers", zo besluit de beveiliger.
Deze posting is gelocked. Reageren is niet meer mogelijk.