Grum是全球第三大垃圾郵件網絡。Grum每天產生大約180億封垃圾郵件,約佔全球垃圾郵件的18%。在2012年7月7日在巴拿馬和荷蘭的殭屍服務器被攻破,,但Grum藏身於烏克蘭和俄羅斯境內的7台新服務器數小時以後便又活躍起來。安全專家通過追踪Grum的活動找到了這些新服務器的地址,最終與當地ISP( 互聯網服務提供商)合作,將它們全部關閉。
日前,spiderlabs發布博文稱,2012年7月7日僅僅是暫時性的關閉了Grum服務器,Grum又起死回生了,如下圖:
spiderlabs分析Grum樣本,發現Grum鏈接到一些新的C&C服務器,如下:
188.93.233.2
185.4.227.170
198.144.156.187
80.86.253.3
84.22.104.163
在C&C服務器利用80端口的GET請求來進行通信,如下:
GET /spm/s_get_host.php?ver=[bot version]
s_get_host.php 受感染的機器IP和主機名
GET /spm/s_alive.php?id=[bot machineid]&tick=[system tick]&ver=[bot version]&smtp=[ok|bad]
s_alive.php 返回受感染機器是否存活,以及BOT ID、system tick、bot version和SMTP狀態
GET /spm/s_task.php?id=[bot machine id]&tid=xxxxx
s_task.php 定制任務和垃圾郵件模板
GET /spm/s_report.php?task=[task id]&id=[bot machine id]&errors[xxx]=xx
s_report.php 返回一些錯誤信息
垃圾郵件的模板如下:
spiderlabs實驗室發現垃圾郵件中很多鏈接是鏈到非法藥品經營類網站,並且列出了一個詳細網站名單,點擊這裡查看。並且表示,Grum非常根深蒂固,2012年7月7日也許僅僅是一個開始。
沒有留言:
張貼留言