sabato 24 gennaio 2009

Waledac botnet. Scansione dei pc infetti

Come sempre consiglio chi volesse visitare i links (indirizzi ip) elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

In questi giorni e' uscito sull'ottimo sito http://www.sudosecure.net/ un nuovo post dal nome Waledac Tracker Revamped al riguardo del rinnovato Tracker Waledac che permette di analizzare l'estensione e lo sviluppo della botnet Waledac con una notevole serie di dettagli.

Paragonando i dati presentati con il mio semplice script Autoit che chiaramente presenta molti limiti rispetto ad un reale tracker di botnet (si tratta unicamente di un whois ciclico su un dominio facente parte della botnet), ho voluto provare ad eseguire una scansione piu' lunga nel tempo rispetto alle precedenti per verificare se esisteva una convergenza di risultati su quanto rilevato con il tracker di sudosecure.net

Per fare questo ho intanto 'ripulto' lo script da alcuni bug presenti che in maniera casuale lo terminavano quando incontrava problemi di conversione e copia dei dati acquisiti per scriverli sul file txt di report.
Questa cosa ha permesso di eseguire per circa 15 ore quasi 10.000 whois consecutivi su uno dei domini Waledac piu' attivi al momento e precisamente bestbarack.com

Questa che vedete e' l'indicazione presente sull'interfaccia dello script che indica il numero di whois eseguiti sul dominio al termine della scansione

A questo punto , eliminando gli indirizzi IP duplicati (molte volte il medesimo IP si presenta ripetuto durante la scansione e tra l'altro il numero di IP ripetuti sembra essere notevolmente piu' alto su IP USA !!!???)) questo e' il risultato :

Come si vede, adesso, con una analisi certamente molto piu' lunga di quelle precedenti, abbiamo al primo posto come computers infetti da Waledac la Cina seguita da Korea, Usa, India ecc... il che concorda abbastanza da vicino con le scansioni piu' attendibili presenti in rete.

Questo il dettaglio del report
con un ulteriore dettaglio riferito a macchine USA infette
mentre per chi volesse visionare il report in dettaglio qui trovate il file del report in formato TXT (circa 2 mega e mezzo) come ottenuto eseguendo lo script.
Si tratta di file testo che usa il carattere $ per delimitare i vari campi del record ed e' facilmete importabile su foglio di calcolo.

Edgar

Nessun commento: