sabato 31 gennaio 2009

Waledac botnet. Aggiornamento 31 01

In questi ultimi 3 giorni, come illustrato in precedenti post la botnet Waledac presentava un particolare comportamento in riferimento agli indirizzi IP proposti quando si apriva nel browser un indirizzo tra quelli attivi al momento.

In pratica sia una scansione whois degli IP collegati alle pagine Waledac che una analisi ad esempio del tracker www.sudosecure.net/waledac/ dimostravano che gli IP rilevati erano diventati solo ed esclusivamente appartenenti a macchine infette facenti parte della botnet e locati in USA.

Ora (8.30 AM ora di Bangkok) sembra che la situazione degli IP sia tornata come ai precedenti reports ed anche sudosecure confermerebbe questa nuova situazione.

In ogni caso al momento si rilevano molti IP duplicati ed inoltre nazioni come la Cina che prima erano presenti ai primi posti come numero di PC infetti ora sono ancora assenti dagli IP rilevati

Questo un primo report eseguito tramite script Autoit

e questo un report di http://www.sudosecure.net/waledac/

che dimostra come al momento siano ancora molti gli IP non attivi (es Cina)

Edgar

Nessun commento: