Фарма-ботнет Rustock замолчал

Некогда самый крупный генератор спама, ботнет Rustock, неожиданно прекратил работу. Причины пока неясны, но специалисты по безопасности полагают, что речь идёт о широкомасштабной кампании по закрытию ботнета, сообщает независимый журналист Брайан Кребс (Brian Krebs).

Эксперт Джо Стюарт (Joe Stewart) из компании SecureWorks говорит, что ни один из 26 контролирующих центров Rustock, за которыми ведётся наблюдение, вчера не отзывались. В компании M86 Security подтверждают эту информацию и приводят график, свидетельствующий о том, что, оставшись без управления, спам-боты впали в спячку.

"Похоже на широкомасштабную кампанию, в ходе которой либо IP-адреса этих серверов были заблокированы транзит-провайдерами, либо жалобы различным хостинг-провайдерам привели к их одновременному отключению, — считает Стюарт. — Словно кто-то скрупулёзно вычислял эти адреса, а затем вырубил их тем или иным способом".

В последние несколько лет Rustock генерировал значительную часть мирового спама, причём длительное время занимал лидирующую позицию. Прошлой весной на его долю приходилось едва не 60% почтового мусора (по большей части — реклама дешёвых фарма-препаратов вроде аналогов "Виагры").

Ботнет пережил несколько серьёзных ударов, включая закрытие хостера McColo в конце 2008 года. Хуже всего на его самочувствии отразилось закрытие SpamIt — подпольного ресурса, который безопасники называют спамерским сателлитом фарма-партнёрки GlavMed. Согласно последней статистике M86 Security, собранной за неделю с 7 по 13 марта, на долю Rustock приходилось только 2,9% общемирового спама (8 позиция в рейтинге).

Пока непонятно, сумеет ли Rustock частично или полностью восстать из пепла. Для этого его "пастухам" понадобится перехватить управление хотя бы одним контролирующим центром, к каждому из которых сейчас тщетно пытаются достучаться сотни тысяч заражённых компьютеров (по консервативным данным Composite Spam Blocklist, это 815 тысяч ботов).