In altre parole se in precedenza un whois dava come risultato anche localita' in China, Brasile, Korea ecc... ora gli IP che vengono restituiti (anche da un Nslookup) appartengono a gestori di servizi internet negli States
L'esecuzione di uno script whois autoit ciclico ad esempio sul dominio bestbarack.com da' come risultato questo report
dove appare evidente la sola presenza di computers locati in USA.
La conferma d questo sembra venire anche sia dalla consultazione del tracker www.sudosecure.net/waledac/index.php
che evidenzia lo strano comportamento nelle ultime ore di Waledac botnet come si puo' notare sia da questo report
dove le date presenti per IP diversi da 'location' USA sono ferme al 27 01
che da questo
che mostra gli ultimi IP rilevati come provenire solo da USA
In pratica sembrerebbe che chi gestisce Waledac voglia forzare chi carica il sito con malware solo a linkarsi a IP appartenenti a macchine locate in Usa o almeno l'indicazione di un whois sembrerebbe confermare questo anche se risulta evidente che migliaia di computers infetti (Cina e Korea in testa alla grduatoria) non possono certo essere spariti in poche ore o meglio essere ora tutti bonificati dal malware e fuori dalla botnet.
Per completare queste INFO c'e' anche da dire che i Name Servers relativi vengono sempre geolocati in diverse nazioni anche al di fuori degli USA
come si puo' vedere in quest'altro report
Come info aggiuntiva, al momento, il file eseguibile proposto da bestbarack.com e' sempre scarsamente riconosciuto da una scansione Virus Total:
mentre risultano attivi, al momento di scrivere il post, questi nomi di dominio in fastflux Waledac
(continua)
Edgar
Nessun commento:
Posta un commento