martedì 2 ottobre 2007

Sviluppi sulla diffusione di StormWorm

Sul blog Security Fix e' apparso un articolo al riguardo della situazione attuale della diffusione di Storm Worm.
Nonostante il numero di pc infetti sia valutato in alcuni milioni sembrerebbe che nelle ultime settimane l'attivita' di questo malware, che sfrutta una rete botnet per diffondersi e diffondere spam, sia diminuita rispetto al mese precedente.
Per spiegare questo si fanno alcune ipotesi tra cui “One explanation is clean-up activity by Microsoft. Each month, the company pushes out updates to its 'malicious software removal tool',...." cioe' la pubblicazione del nuovo aggiornamento da parte di Microsoft del tools di rimozione malware che adesso riconosce ed elimina StormWorm anche nelle sue varianti.
Le cifre riportate da Microsoft sono di 91.000 sistemi ripuliti da StormWorm in 24 ore ed hanno raggiunto oltre 270.000 PCs in una settimana.
Come conseguenza di questo pare che i creatori di storm worm abbiano cercato di produrre nuove varianti del virus per evitare l'identificazione dello stesso e comunque si fa anche notare che il numero di sitemi infetti da storm worm attivi ora potrebbe essere solo una piccola percentuale del totale dei computer infetti.
Resta il fatto che nelle ultime due settimane i domini che ospitavano le pagine infette utilizzate dal malware sono quasi sempre offline o difficilmente raggiungibili.
Questo potrebbe significare una difficolta per chi controlla la rete botnet di attivare i computer infetti ma potrebbe anche trattarsi di un momento di pausa per riorganizzare la rete botnet in vista di nuovi attacchi.
Un'altro blog USA, che si occupa di malware, suggerisce anche una diversa serie di nomi di dominio per la diffusione di stormworm “......... possible new Storm domains: superengine.cn. eliteproject.cn, space-sms.info, lem0n.info, bl0cker.org, bl0cker.info” che in questo caso pero' non utilizzerebbero la connessione di tipo fast-flux.
Microsoft fa' anche notare che il numero totale di computer ripuliti da StormWorm non e' poi cosi' elevato se paragonato ad esempio al numero di macchine che sono state ripristinate da malware come Renos con 668,362 o Zlob con 664,258 pc infetti ripristinati.
Se StormWorm si e' guadagnato tanta popolarita' e' dovuto anche alle nuove tattiche che usa per diffondersi quali botnet-con fast-flux , il sistema decentralizzato che utilizza per diffondersi ed aggiornarsi attraverso un protocollo simile al peer to peeer e non ultima anche la possibilita di 'autodifesa' che lancia in automatico un attacco DOS (Denial Of Service) nei confronti degli indirizzi di rete da cui parte una scansione per individuare il malware.

Edgar

Nessun commento: