giovedì 29 gennaio 2009

Waledac botnet. Aggiornamento su strani comportamenti whois

E' da circa 24 ore che un whois di un qualunque dominio Waledac attivo restituisce esclusivamente ip appartenenti a macchine locate in USA

In altre parole se in precedenza un whois dava come risultato anche localita' in China, Brasile, Korea ecc... ora gli IP che vengono restituiti (anche da un Nslookup) appartengono a gestori di servizi internet negli States

L'esecuzione di uno script whois autoit ciclico ad esempio sul dominio bestbarack.com da' come risultato questo report

dove appare evidente la sola presenza di computers locati in USA.

La conferma d questo sembra venire anche sia dalla consultazione del tracker www.sudosecure.net/waledac/index.php

che evidenzia lo strano comportamento nelle ultime ore di Waledac botnet come si puo' notare sia da questo report

dove le date presenti per IP diversi da 'location' USA sono ferme al 27 01

che da questo

che mostra gli ultimi IP rilevati come provenire solo da USA

In pratica sembrerebbe che chi gestisce Waledac voglia forzare chi carica il sito con malware solo a linkarsi a IP appartenenti a macchine locate in Usa o almeno l'indicazione di un whois sembrerebbe confermare questo anche se risulta evidente che migliaia di computers infetti (Cina e Korea in testa alla grduatoria) non possono certo essere spariti in poche ore o meglio essere ora tutti bonificati dal malware e fuori dalla botnet.

Per completare queste INFO c'e' anche da dire che i Name Servers relativi vengono sempre geolocati in diverse nazioni anche al di fuori degli USA

come si puo' vedere in quest'altro report

Come info aggiuntiva, al momento, il file eseguibile proposto da bestbarack.com e' sempre scarsamente riconosciuto da una scansione Virus Total:

mentre risultano attivi, al momento di scrivere il post, questi nomi di dominio in fastflux Waledac


(continua)

Edgar

Nessun commento: