微软今天表示,Rustock僵尸网络的协调堵塞和后续努力将曾经由俄罗斯黑客控制的超过一半的PC被清除了恶意软件。
微软周二表示,Rustock僵尸网络和后续工作的协调取消将Malwware从俄罗斯黑客控制的一半PC中吹扫。
“这表明,与微软数字犯罪单位的高级律师Richard Boscovich说,这表明违反僵尸队[反对僵尸网络]是可行的。
博斯科维奇在周一的一次采访中补充说:“一旦你开始分解僵尸网络的基础设施,你就抬高了(僵尸网络团伙)做生意的成本。”“破坏行为和试图逮捕某人一样好。”
自3月份以来,微软律师和美国法警占领了Rustock命令控制服务器博斯科维奇在一份报告中指出,截至6月18日,在美国7个城市的5家网络主机提供商中,全球感染该恶意软件的Windows电脑数量已从160万台下降至70多万台博客帖子今天。
微软还发布了一份详细的报告,内容涉及Rustock,它所领导的取缔行动,以及其反僵尸网络行动(下载).
在美国,3月份估计的86,000名Rustock受感染的PC被六月减少到约53,000人,跌幅为38%。其他国家甚至更大的减少:在印度,3月份的322,000台受感染的机器在6月下降了69%至约99,000。
关闭操作系统本身并没有使Windows电脑脱离Rustock的控制。相反,占领美国的C&C服务器和微软的工作,以夺取域名的控制,Rustock被编码用于备用通信,阻止僵尸网络更新自己。
这反过来又为杀毒软件供应商提供了喘息的空间,他们需要发布现有Rustock恶意软件的签名,用户也有机会用安全软件清理他们的系统。
例如,Microsoft为其恶意软件删除工具(MSRT)提供了Rustock签名,自2008年以来检测和删除恶意软件的自由实用程序。
拉斯托克通讯渠道的关闭有效地压制了僵尸网络。
自3月以来,僵尸网络 - 曾经是垃圾邮件的最大供应商之一,特别是假冒药物的投球 - 一直很安静。“僵尸网络活动在下落后三月中旬突然下降到几乎零,”微软在其报告中表示。
在此之前,Rustock每天可以发送多达3000万条垃圾邮件。
博斯科维奇说:“清理用户的电脑是很重要的一部分,但这确实表明,技术对策和法律对策是有效的。”他谈到了夺取服务器和关闭Rustock备份通信的双管齐下的方法。
它的影响不仅限于鲁斯托克。
“你拿下Rustock的那一刻,对那些想发垃圾邮件的人有什么影响?”Boscovich问道。“他们必须找到其他僵尸网络。但如果你是一个僵尸网络放牧者,你刚刚看到Rustock倒下了——经过多年的编码、植入恶意软件和维护僵尸网络——你将收取更高的费用。这对垃圾邮件发送者的成本分析产生了影响,因为发送垃圾邮件的成本越来越高。”
赛门铁克(Symantec)的统计数据似乎证明了微软是有道理的。
赛门铁克在6月份关于垃圾邮件和恶意软件趋势的报告中说,Rustock的垃圾邮件数量尚未恢复,6月份垃圾邮件占所有电子邮件的比例从3月份的83.1%下降到72.9%。
Alex Lanstein是一位与Microsock在Rustock Toal-Down上使用Microsoft的Fireeye的高级工程师表示,这些数字为自己说话。“垃圾邮件下降是下降的直接结果,”Lanstein周一表示。
但赛门铁克也表示,有证据表明,另一个名为“Grum”的僵尸网络已经部分取代了Rustock。这家安全公司列举了一些因素,如相似的主题,发送域名,在Rustock瘫痪几个小时后Grum改变了字符集,以及两个僵尸网络的分布模式(下载).
那么,僵尸网络的摧毁只是一场“打地鼠”游戏吗?在这个游戏中,打击一个僵尸网络只会让它被另一个取代?
“我觉得说,说,”愚蠢的说法,“博克福奇说。“如果你不采取行动,你做了什么,坐着看它发生?这个杂草出去了较小的球员,他们决定他们不能提供垃圾邮件的更高成本。如果每个人都开始做更多的主动工作[下降],我们真的能够取下很多玩家,并扰乱整个垃圾邮件生态系统。“
Lanstein补充说:“这不是吹毛求疵,但总是有很多唱反调的人从消极的角度来谈论。”“持久的影响来自于你有多坚持到底。”
在他的眼中,微软致力于长期战斗。“[微软]带给了坏人的斗争,”Lanstein说。“这绝对不是我们将继续下去的最后一个僵尸网络。”
微软尚未确定Rustock Botnet Gang的推定负责人,但上周联邦法官授予其要求延长其努力通知未命名的被告在诉讼中,这是一个旨在为潜在被告提供应对收费的机会的法律形式。
微软认为Rustock运营商居住在俄罗斯联邦的圣彼得堡或莫斯科;上个月它发表法律通知在这些城市的报纸上。
尽管博斯科维奇说,被告不太可能站出来,但他听起来很有信心,有了被查获的服务器和其他调查的信息,一定会有人为鲁斯托克负责。
博斯科维奇说:“我们认为我们可以做更多的工作来识别这些人,以锁定本案的实际被告。”“我认为(我们将指认出某人)的可能性很大,但这不能保证。”
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer,或同意格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于安全性的内容在计算机世界的安全主题中心。
这个故事,"Rustock down,证明僵尸网络可以瘫痪,微软说"最初是由《计算机世界》 .