Effect of C&C Shutdown on Botnet Spam Traffic
Een recente shutdown van een belangrijke command-and-control server heeft geleid tot een aanzienlijke afname van spamverkeer van de Cutwail SpamBots. Dit is duidelijk te zien in de rapportage van de CBL botnet spamdetectiesysteem.
Analyse van Cutwail SpamBots
De aangetroffen gegevens tonen het totaal aantal spams per seconde die verzonden zijn door Cutwail in een van de grotere spamtraps. Er zijn twee sets grafieken gepresenteerd: “Cutwail” en “Cutwail2”. Cutwail2 is de nieuwere variant en vertoont hogere volumes. Hoewel de gewone Cutwail al minstens twee jaar actief is, is Cutwail2 de afgelopen zes maanden in gebruik.
Gevolgen van de Shutdown
De shutdown heeft geleid tot een scherpe daling van spam, vooral bij Cutwail2, dat voor lange perioden niet actief was. Hoewel de totale spamflow niet dramatisch is veranderd, is de impact van de Shutdown duidelijk. Cutwail2 heeft zich tot ongeveer 25% van zijn vorige volume hersteld, terwijl de gewone Cutwail niets heeft verloren maar ook niet lijkt te herstellen. De toename van Cutwail2 lijkt te wijzen op nieuwe C&C servers die bij andere providers zijn opgezet.
Deze gegevens zijn afkomstig van een snapshot van 9 juni 2009, met tijdstippen weergegeven in GMT.