F-Secure waarschuwt voor spambendes

Zeer actieve bronnen in China en Rusland

19 januari 2007 | Roland Van Hek Beveiligingsbedrijf F-Secure waarschuwt voor twee uiterst actieve spambendes. Volgens de blog van het bedrijf is een grote hoeveelheid spam momenteel afkomstig van twee bronnen, één in Rusland en één in China.

De Warezov-bende maakt gebruik van varianten van de Warezov en Medbot/Horst om medische en replicatiespam te versturen. De Rustock-bende gebruikt Mailbot.AZ en varianten daarvan om beursgerelateerde spam rond te sturen. De Warezov-bende opereert waarschijnlijk vanuit China, de mensen van Rustock zitten volgens F-secure in Rusland.

Machines die zijn geïnfecteerd met Medbot maken gebruik van een clientserver-architectuur. Ze maken verbinding met een centrale machine voor meer instructies, evenals spamcontent en adreslijsten.

De serveradressen blijven continu veranderen. Vorige week werd er gebruikgemaakt van seek21.zootseek.com om e-mailadressen naar de bots te versturen. Tijdens een onderzoek naar de spam hebben medewerkers van F-Secure maar liefst 68 GB aan e-mailadressen van de server gedownload.

Een ander voorbeeld van de clientserver-architectuur is de website http://seeky.zootseek.com/d/body.html. Op deze URL worden willekeurige templates gegenereerd voor het versturen van spammailtjes.

Als u naar deze URL gaat en de pagina herlaadt, krijgt u iedere keer een nieuwe spamtemplate te zien. Houd er echter rekening mee dat het bezoeken van de URL geheel op eigen risico geschiedt. Wij kunnen u niet garanderen dat het bezoeken van de URL zonder risico's is.

U doet er overigens ook goed aan om toegang te blokkeren naar alle hosts onder het domein Medbod.com, aangezien dit domein door Medbot wordt gebruikt om botcode te downloaden.

bron: ZDNet