全球第三大垃圾郵件網絡Grum死灰復燃

Grum是全球第三大垃圾郵件網絡。Grum每天產生大約180億封垃圾郵件,約佔全球垃圾郵件的18%。在2012年7月7日在巴拿馬和荷蘭的殭屍服務器被攻破,,但Grum藏身於烏克蘭和俄羅斯境內的7台新服務器數小時以後便又活躍起來。安全專家通過追踪Grum的活動找到了這些新服務器的地址,最終與當地ISP( 互聯網服務提供商)合作,將它們全部關閉。

  日前,spiderlabs發​​布博文稱,2012年7月7日僅僅是暫時性的關閉了Grum服務器,Grum又起死回生了,如下圖:

  spiderlabs分析Grum樣本,發現Grum鏈接到一些新的C&C服務器,如下:

  188.93.233.2

  185.4.227.170

  198.144.156.187

  80.86.253.3

  84.22.104.163

  在C&C服務器利用80端口的GET請求來進行通信,如下:

  GET /spm/s_get_host.php?ver=[bot version]

  s_get_host.php 受感染的機器IP和主機名

  GET /spm/s_alive.php?id=[bot machineid]&tick=[system tick]&ver=[bot version]&smtp=[ok|bad]

  s_alive.php 返回受感染機器是否存活,以及BOT ID、system tick、bot version和SMTP狀態

  GET /spm/s_task.php?id=[bot machine id]&tid=xxxxx

  s_task.php 定制任務和垃圾郵件模板

  GET /spm/s_report.php?task=[task id]&id=[bot machine id]&errors[xxx]=xx

  s_report.php 返回一些錯誤信息

  垃圾郵件的模板如下:

  spiderlabs實驗室發現垃圾郵件中很多鏈接是鏈到非法藥品經營類網站,並且列出了一個詳細網站名單,點擊這裡查看。並且表示,Grum非常根深蒂固,2012年7月7日也許僅僅是一個開始。

arrow
arrow
    全站熱搜

    efortune4 發表在 痞客邦 留言(0) 人氣()