Grum是全球第三大">垃圾邮件网络。Grum每天产生大约180亿封垃圾邮件,约占全球垃圾邮件的18%。在2012年7月7日在巴拿马和荷兰的僵尸服务器被攻破,,但Grum藏身于乌克兰和俄罗斯境内的7台新服务器数小时以后便又活跃起来。安全专家通过追踪Grum的活动找到了这些新服务器的地址,最终与当地ISP(互联网服务提供商)合作,将它们全部关闭。
日前,spiderlabs发布博文称,2012年7月7日仅仅是暂时性的关闭了Grum服务器,Grum又起死回生了,如下图:
spiderlabs分析Grum样本,发现Grum链接到一些新的C&C服务器,如下:
188.93.233.2
185.4.227.170
198.144.156.187
80.86.253.3
84.22.104.163
在C&C服务器利用80端口的GET请求来进行通信,如下:
GET /spm/s_get_host.php?ver=[bot version]
s_get_host.php 受感染的机器IP和主机名
GET /spm/s_alive.php?id=[bot machineid]&tick=[system tick]&ver=[bot version]&smtp=[ok|bad]
s_alive.php 返回受感染机器是否存活,以及BOT ID、system tick、bot version和SMTP状态
GET /spm/s_task.php?id=[bot machine id]&tid=xxxxx
s_task.php 定制任务和垃圾邮件模板
GET /spm/s_report.php?task=[task id]&id=[bot machine id]&errors[xxx]=xx
s_report.php 返回一些错误信息
垃圾邮件的模板如下:
spiderlabs实验室发现垃圾邮件中很多链接是链到非法药品经营类网站,并且列出了一个详细网站名单,点击这里查看。并且表示,Grum非常根深蒂固,2012年7月7日也许仅仅是一个开始。