sabato 10 gennaio 2009

Aggiornamento 10 gennaio 09 sullo stato della Waledac Botnet

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

Sembrerebbe sempre molto attiva la botnet Waledac che ha fatto la sua comparsa recentemente e che come gia' visto presenta molte analogie con la ben nota Storm Worm Botnet.

Una scansione della lista dei domini interessati dalla diffusione della falsa card di auguri che in realta' linka a file eseguibile malware, mostra che praticamente tutti i siti sono ONLINE ed attivi.

Il file eseguibile presente (card.exe) risulta ora sconosciuto ai softwares presenti su VT

Un report relativo agli IP di provenienza dei PC compromessi facenti parte della botnet Waledac dimostra che come sempre la maggior parte sia locata in USA e Canada ma questa volta anche un IP italiano rientra nella lista.

Per verificare comunque l'attendibilita' del report ottenuto, come sempre, con un whois ciclico (script Autoit) su uno dei nomi di dominio facenti parte della botnet, e' stato verificato cosa accadeva caricando nel browser l'IP italiano trovato

Come si vede, abbiamo la conferma che l'IP appartiene a indirizzo di macchina che hosta la falsa pagina di cards contenente il malware.
A questo punto sara' anche interessante verifcare per quanto tempo questo IP risultera' attivo nella distribuzione della falsa pagina di card della botnet.

Edgar

Nessun commento: