В качестве DNS-серверов, спамеры использовали компьютеры Microsoft

Группа спамеров из России в течение нескольких недель использовала компьютеры, принадлежащие Microsoft, в спамерской кампании по продвижению ”канадской фармы” в качестве DNS-серверов. Эксперты по безопасности считают, что злоумышленники, скорее всего, каким-то образом получили доступ к майкрософтовским серверам, сообщает The Register.

Исследователь из Калифорнии, некий Рональд Гилметт (Ronald F. Guilmette), изучал спамерскую активность более тысячи веб-сайтов, приторговывающих всевозможной виагрой под брендом ”Canadian Health&Care Mall”. Он выяснил, что DNS-серверы, обеспечивающие доступ к этим доменам, с 22 сентября располагаются по одному из двух IP-адресов, зарегистрированных на Microsoft.

Эту информацию проверили и подтвердили другие специалисты, к которым обратились журналисты The Register. Действительно, по IP-адресам 131.107.202.197 и 131.107.202.198, которые принадлежат Microsoft, находятся десятки DNS-серверов, обрабатывающих доменные имена для 1025 фарма-сайтов.

Наиболее вероятно, по мнению экспертов, что злоумышленники получили частичный или полный контроль над этими машинами, после того как те были заражены. Впрочем, возможны варианты: например, эти компьютеры могут использоваться специалистами Microsoft в качестве приманок для изучения вредоносных программ, т.е. в компании знали о заражении и действовали сознательно.

По данным Гилметта, аналогичным образом пострадали компьютеры и других организаций. В частности, он называет Университет Хьюстона, Городской университет Нью-Йорка, правительство Индии. Гилметт говорит, что к настоящему моменту несанкционированные DNS-серверы уже удалены с этих компьютеров.

В Microsoft пока не делали никаких заявлений в этой связи: здесь заняты изучением проблемы.

Борцы со спамом из Spam Trackers связывают ”Canadian Health&Care Mall” с русскими спамерами. Традиционно сайты, эксплуатирующие этот бренд, размещаются на заражённых серверах, а соответствующие доменные имена обрабатываются DNS-серверами, расположенными на других заражённых компьютерах.