Rustock botnät
Rustock botnät var ett botnät som fungerade från omkring 2006 till mars 2011.
Den bestod av datorer som körde Microsoft Windows och kunde skicka upp till 25 000 skräppostmeddelanden per timme från en infekterad dator. På höjden av sina aktiviteter skickade den i genomsnitt 192 skräppostmeddelanden per intrång i maskinen per minut. Rapporterade uppskattningar av dess storlek varierar mycket mellan olika källor, med påståenden om att botnätet kan ha omfattat någonstans mellan 150 000 och 2 400 000 maskiner. Storleken på botnätet utökades och bibehölls mestadels genom självspridning, där botnätet skickade många skadliga e-postmeddelanden avsedda att infektera maskiner som öppnade dem med en trojan som skulle införliva maskinen i botnätet.
Botnätet fick ett slag efter 2008 års nedtagning av McColo , en ISP som var värd för de flesta av botnätets kommando- och kontrollservrar. McColo återfick internetanslutning i flera timmar, och under dessa timmar observerades upp till 15 Mbit en sekunds trafik, vilket troligen tyder på en överföring av kommando och kontroll till Ryssland . Även om dessa åtgärder tillfälligt minskade globala skräppostnivåer med cirka 75 %, varade effekten inte länge: skräppostnivåerna ökade med 60 % mellan januari och juni 2009, varav 40 % tillskrevs Rustocks botnät.
Den 16 mars 2011 togs botnätet ner genom vad som ursprungligen rapporterades som en samordnad insats av Internetleverantörer och mjukvaruleverantörer. Det avslöjades nästa dag att nedtagningen, kallad Operation b107, var en åtgärd av Microsoft , amerikanska federala brottsbekämpande agenter, FireEye och University of Washington .
För att fånga individerna som är involverade i Rustocks botnät, erbjuder Microsoft den 18 juli 2011 "en monetär belöning på 250 000 USD för ny information som resulterar i identifiering, arrestering och fällande dom för sådana individer."
Operationer
Botnät består av infekterade datorer som används av ovetande internetanvändare. För att dölja sin närvaro från användaren och antivirusprogramvaran använde Rustock-botnätet rootkit -teknik. När en dator väl var infekterad, skulle den söka kontakt med kommando-och-kontrollservrar på ett antal IP-adresser och någon av 2 500 domäner och backupdomäner som kan styra zombies i botnätet att utföra olika uppgifter som att skicka skräppost eller köra distribuerad DDoS-attacker ( denial of service ). Nittiosex servrar var i drift vid tidpunkten för nedtagningen. När du skickar skräppost använder botnätet TLS-kryptering i cirka 35 procent av fallen som ett extra skyddslager för att dölja dess närvaro. Oavsett om det upptäcks eller inte skapar detta ytterligare overhead för e-postservrarna som hanterar skräpposten. Vissa experter påpekade att denna extra belastning skulle kunna påverka e-postinfrastrukturen på Internet negativt, eftersom de flesta e-postmeddelanden som skickas nuförtiden [ när ? ] är spam.