mercoledì 4 febbraio 2009

Aggiornamento Waledac 4 febbraio

Sono sempre attivi molti dei domini Waledac visti nei giorni scorsi
Eco un elenco verificato con Webscanner di domini Waledac che linkavano alla pagina che distribuisce il malware.

Ora VT dimostra nuovamente un basso riconoscimento del pericolo, almeno da quanto si nota dalla scansione on line del file malware.

Queste invece alcuni parti del contenuto di un articolo apparso su Lavasoft Blog

Si tratta di una intervista a Jeremy Conway, un ricercatore indipendente di sicurezza che scrive su Sudosecure.net e che ha attivato uno stretto monitoraggio della botnet Waledac

----------------------------------------------------------------------------------------

* Come stai seguendo Waledac botnet e da quanto tempo e' apparsa in rete ?

“Waledac apparve per la prima volta a meta' dicembre, ed ho iniziato un tracking 'aggressivo' di monitoraggio dopo il 2 gennaio.
Per monitorare questo worm, ho scritto degli scripts che sfruttano la struttura double flux di Waledac botnet..........
L'altra parte del mio monitoraggio consiste nel recuperare l'eseguibile Waledac ogni 30 minuti ed eseguire un semplice MD5 sul file per identificarne le nuove versioni ..................”

* Come vengono infettati i computers ?

"Il principale obiettivo di Waledac botnet e' quello di distribuire spam.
Spam template sono passati con un sistema HTTP peer to peer tra i computer infetti, questo e' anche il motivo per cui molti ricercatori si riferiscono al Waledac come HTTP P2P botnet..........
Gli utenti vengono infettati sfruttando tecniche di ingegneria sociale attraverso messaggi di spam.
Ci sono stati diversi temi:
Il primo e' stato un tema di Natale in cui all'utente e' stato detto che ha ricevuto una cartolina postale o e-card da un amico ed e' stato chiesto di scaricarla.
Il secondo grande tema era un tema politico che tentava di sfruttare l'inaugurazione e la popolarita' del presidente Obama.
Questo tema ha inviato numerosi messaggi di spam che sembravano essere notizie del tipo “Barack Obama ha rifiutato di essere presidente".
Questi messaggi di spam puntavano ad un finto blog di Obama con tutti i link presenti che proponevano all'utente finale di scaricare ed eseguire il trojan Waledac .
Il terzo e attuale tema e' un tema di San Valentino con messaggi del tipo "Qualcuno ti ama"............

* Quale e' la portata della botnet di PC compromessi creata? Che nazione ha la maggioranza dei PC infetti ?

"Waledac" botnet "ha circa 20.000 – 30.000 nodi infetti e sta crescendo.
Questa stima e' stata ricavata dalla scansione della botnet e l'analisi di computer infetti; la Cina sembra essere la regione piu' duramente colpita, seguita da La Repubblica di Corea, e poi gli Stati Uniti.
Sono stato personalmente sorpreso di trovare gli Stati Uniti, come solo la terza nazione piu' infettati visto il tema specifico per gli USA relativo a Obama."

* Che cosa si conosce circa gli autori di questo malware?

"Molto poco e' veramente conosciuto sui veri autori del Trojan Waledac, ma si sospetta che i russi di Business Network (RBN) siano coinvolti.
Credo che questo sospetto derivi da tanti ricercatori che pensano che Waledac sia il sostituto di Storm Worm .................. ".

* Quali consigli daresti agli utenti di computer per prevenire l'infezione ?.

"Il miglior consiglio che posso dare agli utenti e' di non scaricare files eseguibili da siti che sostengono che e' necessario installare files per visualizzare ulteriori contenuti del sito web.
La maggior parte dei siti Web legittimi non chiede agli utenti di scaricare un software aggiuntivo per visualizzare il loro contenuto.
Un altro consiglio che posso dare e' di non aprire i messaggi e-mail da persone che non conosci, e non seguire i link all'interno di questi messaggi.
Dopo di che, sarebbe opportuno anche avere sempre il software antivirus aggiornato e funzionante. "

Articolo completo dell'intervista su http://www.lavasoft.com/company/blog/?p=502

----------------------------------------------------------------------------------------------

Per quanto si riferisce ai miei report ottenuti con mezzi molto piu' semplici c'e' comunque da notare che sono abbastanza allineati con i risultati molto piu' precisi ed affidabili ottenuti dal tracker sudosecure.net.

Sia il report del tracker che anche i report ottenuti semplicemente con un whois ciclico concordano nell'indicare che in questi ultimi giorni , anche se Cina e Korea sono sicuramente ai primi posti come macchine infette, l'elenco delle nazioni coinvolte nella botnet che vengono linkate al momento e' cambiato.

Come si vede in una breve scansione fatta con lo script Autoit la Cina non appare nell'elenco degli IP facenti parte della botnet ed anche la Korea appare in maniera abbastanza ridotta.


Ricordo come sempre che sia i domini elencati che molti degli IP nel report possono essere ancora attivi e linkare al file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file malware.

Edgar

Nessun commento: