Две недели потребовалось владельцам спамерских ботнетов, чтобы восстановить контроль после закрытия хостинга McColo. Эту компанию называли главным спамерским хостингом мира, через который управлялось до 75% мирового спама. Когда 13 ноября McColo закрыли, количество мусора в Сети снизилось примерно в 2—3 раза даже в Рунете (о чем сообщала «Лаборатория Касперского»).

На сегодняшний день спамеры полностью восстановили свою деятельность. Как сообщается, злоумышленникам удалось перенести серверы для управления ботнетом на другой хостинг, теперь уже в Эстонии. Название фирмы-хостера пока не сообщается.

Спамеры были готовы к такому развитию событий. Специалисты, которые осуществили обратный инжиниринг троянов Srizbi, говорят, что в код программы зашит алгоритм генерации новых доменных имен каждые три дня. Алгоритм потребуется в тех случаях, если клиентская программа не сможет связаться с центром управления. Спамеры, разумеется, этот алгоритм знают и пытаются сразу зарегистрировать необходимые домены, для восстановления контакта с потерянными ботами.

До сих пор антиспамерским компаниям удавалось опережать спамеров и регистрировать домены на себя. Они зарегистрировали несколько сотен доменов, но их денежные ресурсы не безграничны. В какой-то момент они остановили процесс — и через три дня спамеры уже зарегистрировали 5 доменов. Таким образом, владельцам ботнета удалось установить коннект с зараженными машинами (их около 100 000 штук), после чего они сразу обновили клиентскую версию трояна.

Другой ботнет Rustock, который тоже действовал через McColo, возобновил работу, когда один из шведских хостингов из благих побуждений временно разместил у себя серверы McColo и подключил их к интернету. Владельцы тут же обновили клиентские версии трояна и перевели их на центр управления в России.