De Warezov-bende maakt gebruik van varianten van de Warezov en Medbot/Horst om medische en replicatiespam te versturen. De Rustock-bende gebruikt Mailbot.AZ en varianten daarvan om beursgerelateerde spam rond te sturen. De Warezov-bende opereert waarschijnlijk vanuit China, de mensen van Rustock zitten volgens F-secure in Rusland.
Machines die zijn geïnfecteerd met Medbot maken gebruik van een clientserver-architectuur. Ze maken verbinding met een centrale machine voor meer instructies, evenals spamcontent en adreslijsten.
De serveradressen blijven continu veranderen. Vorige week werd er gebruikgemaakt van seek21.zootseek.com om e-mailadressen naar de bots te versturen. Tijdens een onderzoek naar de spam hebben medewerkers van F-Secure maar liefst 68 GB aan e-mailadressen van de server gedownload.
Een ander voorbeeld van de clientserver-architectuur is de website http://seeky.zootseek.com/d/body.html. Op deze URL worden willekeurige templates gegenereerd voor het versturen van spammailtjes.
Als u naar deze URL gaat en de pagina herlaadt, krijgt u iedere keer een nieuwe spamtemplate te zien. Houd er echter rekening mee dat het bezoeken van de URL geheel op eigen risico geschiedt. Wij kunnen u niet garanderen dat het bezoeken van de URL zonder risico’s is.
U doet er overigens ook goed aan om toegang te blokkeren naar alle hosts onder het domein Medbod.com, aangezien dit domein door Medbot wordt gebruikt om botcode te downloaden.
Ik maak graag vrijblijvend kennis om mee te denken over jouw plannen. Met mijn ervaring en netwerk help ik je om ideeën om te zetten in concrete en succesvolle resultaten.
Bezoekadres
Europalaan 33-14
6199 AB Maastricht-Airport (NL)
Postadres
Bellefroidlunet 23a
6221 KS Maastricht (NL)
Kamer van Koophandel
14089683
