O botnet Srizbi, hospedado na rede McColo, que foi desligada há cerca de duas semanas, voltou à vida no final da terça-feira (25/11), afirma a empresa FireEye.

Segundo o Chief Security Officer da FireEye, Fengmin Gong, o Srizbi conseguiu se reconectar com novos servidores que agora ficam na Estônia.

Sem a rede McColo, todos os PCs infectados pelo Srizbi e outros botnets não conseguiam se comunicar com seus servidores, o que levou o nível de spams a cair 41%.

Gong afirma que os bots do Srizbi, quando não conseguiram se conectar com os servidores hospedados pela rede McColo, tentaram novos, por domínios gerados por um algoritmo interno.

Como os domínios eram gerados em um ciclo de 3 dias, a FireEye conseguiu impedir que o Srizbi os controlasse novamemente. Mesmo assim, a empresa não pode investir em tantos domínios.

A partir do momento em que a FireEye interrompeu a tentativa de tomar conta dos domínios, o Srizbi registrou mais cinco domínios, que apontam a novos servidores que atualizaram as máquinas infectadas com uma nova versão do malware.

A FireEye está trabalhando com algumas empresas - incluindo a VeriSign, Microsoft e Network Solutions - para descobrir como chegar a cerca de 100 mil usuários infectados pelo Srizbi.