死灰复燃 Srizbi助长大型僵尸网络

安全研究员周三表示，全球六大垃圾邮件僵尸网络之一的Srizbi在关闭两个星期后又重新复活，并重新被犯罪分子所控制。

　　FireEye公司的首席安全官Fengmin Gong表示，该僵尸网络在周二开始复活，被感染的电脑能够重新连接到具有新的命令与控制的服务器上，而且这些服务器位于爱沙尼亚境内。

　　Srizbi曾经在两周前被关闭。那时候， McColo公司被指控为垃圾邮件制造者，该公司也因此而遭受断网处罚。在遭受断网处罚期间，被Srizbi或者其他僵尸木马感染的计算机也因此无法与控制服务器连接，因为这些服务器是由McColo提供的。结果，垃圾邮件数量也急剧下降了许多。

　　另据Gong透露，当Srizbi僵尸网络无法与McColo的命令与控制服务器相连时，它们会使用内部算法通过域名尝试连接到新的服务器。他还表示，域名产生的周期为三天时间，FireEye能够根据其内部算法进行解析，并阻止其重新连接。

　　一旦FireEye停止攻占Srizbi制造者，他们就会在下一个周期中注册五个域名，而这些域名会帮助Srizbi僵尸网络连接到新的命令与控制服务器上，进而，这些服务器会立即对受到的感染计算机更新恶意软件。

　　“一旦获得更新，后续命令就会给它们发送垃圾邮件，”Gong说道。

　　另据悉，FireEye将协同另外几家公司一起解决此该问题——包括域名注册机构Network Solutions， VeriSign 公司以及微软公司——FireEye已经确定感染Srizbi的电脑数量达到了100000多台。

　　此外，另外一个名为“Rustock”僵尸网络的命令与控制服务器也是由McColo提供，并且也恢复了部分功能。