Nachdem am 11.11.2008 das Unternehmen McColo (AS26780) vom Internet getrennt wurde, war das globale Spam-Aufkommen über 10 Tage hinweg konstant mehr als halbiert. Das verminderte Spam-Aufkommen, das am 21.11.2008 sogar zu einem Jahrestief herabsank, ist durch die Unterbindung von Command&Control-Kanälen einiger Botnetze im Netz von McColo begründet.
Am 15.11.2008 beobachteten die Mitarbeiter Christian Rossow und Christian J. Dietrich, dass McColo 4 Tage nach dem Abtrennen durch die bisherigen Peering-Partner kurzzeitig durch andere Autonome Systeme (TeliaNet Global Network, AS 1299) angebunden wurde. Dies hatte zur Konsequenz, dass die C&C-Server wieder von den Bots erreichbar waren und so eine Umkonfiguration der Bots auf neue IP-Adressen theoretisch möglich war. So konnten noch kürzlich am 21.11.2008 Distributed Denial of Service (DDoS)-Angriffe auf den deutschen Hoster InternetX beobachtet werden, die sich der Bots bedient haben könnten. Eine genaue Zuordnung, ob die am Angriff teilgenommenen Bots tatsächlich aus den abgetrennten Botnetzen stammen, ist jedoch schwierig. Trotz der DDoS-Attacke blieb seit dem erstmaligen Abtrennen von McColo das Spam-Aufkommen vom 12.11.2008 an über 10 Tage konstant auf niedrigem Niveau.
Nun kann seit dem 25.11.2008 wieder beobachtet werden, dass die globale Anzahl an Spam-Nachrichten wieder stark zunimmt und sich dem ehemaligen hohen Niveau annähert. Dieses Niveau wird gemessen an den Abfragen an unseren NiX Spam-Slave, die wie beschrieben wieder stark zunehmen. Wie den Slave-Messungen in der Grafik zu entnehmen ist, ist leider ein Ende des niedrigen Spamniveaus absehbar.
