Da una ricerca effettuata da Damballa. Inc. , company usa che si occupa di sicurezza Internet in relazione alla diffusione delle botnet sembra che ci sia in rete una nuova minaccia derivante da una nuova rete botnet denominata MayDay.
Come scrive www.darkreading.com i ricercatori di Damballa avrebbero verificato la presenza di una rete botnet ancora più potente e piu' nascosta di Storm Worm che si starebbe diffondendo velocemente soprattutto in USA ai danni di grandi imprese, istituzioni educative e tra i clienti di grandi fornitori di servizi Internet.
La MayDay botnet sembrerebbe sottrarsi alla ricerca dei principali prodotti antivirus, e finora avrebbe compromesso migliaia di computers, (il 96,5 per cento delle macchine infettate negli Stati Uniti, e di circa il 2,5 per cento in Canada).
MayDay utilizza una combinazione di tecniche per comunicare con i propri controllori, compresa la modifica delle impostazioni del browser, dice Tripp Cox, vice presidente di Damballa. ed aggiunge, "E 'in grado di comunicare attraverso un proxy Web ed eseguire attività di aggiornamento e di attacco"
"If fatto che il malware sia specificamente progettato per reti che utilizzano Web server proxy è un chiaro indicatore che il targeting di MayDay sono i sistemi aziendali", dice Cox.
L'articolo continua evidenziando che gli antivirus attuali avrebbero problemi a rilevare questo malvare che sarebbe distribuito in rete sotto forma di file di Adobe Reader.
Questo in sintesi quanto pubblicato da www.darkreading.com ma sembra che ci siano anche alcune pareri diversi al riguardo di questa nuova minaccia Botnet.
l'8 febbario infatti Sophoslabs ha pubblicato un articolo "Mayday botnet bigger than Dorf/Storm?" che mette in dubbio alcune delle affermazioni fatte da Damballa.
Vanja Svajcer di SophosLabs, UK infatti sembra alquanto scettico al riguardo della presunta capacita' di MayDay di essere completamente invisibile a qualunque ricerca .... e scrive
" ............ ho trovato il fatto che MayDay sia invisibile a qualsiasi ricerca abbastanza improbabile, infatti e' difficile che una botnet di una certa dimensione passi inosservata in Internet considerando anche la presenza in rete di applicazioni specifiche per catturare malware come esempio le honeypots utilizzate da molti fornitori di sicurezza, compreso Sophos.............."
Sembra che anche i ricercatori di Symantec avessero simili preoccupazioni al riguardo. Dopo un po 'di ricerca, hanno trovato che il loro software, ha già rilevato il Trojan responsabile per la creazione di botnet MayDay come una variante del worm W32/Mytob, ma hanno deciso di riclassificarlo come Trojan.Daymay. "
Vanja Svajcer di SophosLabs continua dicendo che ha analizzato un campione del malware scoprendo che e' già rilevato in modo proattivo da Sophos come Mal / Generico-A
In conclusione Vanja Svajcer evidenzia che forse questa volta si sono sopravalutate le capacita di questo malware botnet e che, anche se il pericolo esiste, e' sicuramente inferiore a quanto era stato annunciato nei precedenti articoli.
Forse potrebbe anche essere accaduto che qualcuno abbia cercato un po di pubblicta' facendo passare questo MayDay come un nuovo super malware quando invece sembra essere allo stesso livello di altri gia' conosciuti.
Edgar
Nessun commento:
Posta un commento