sabato 7 febbraio 2009

Botnet Waledac. Alcune verifiche (parte 2)

Ecco un diverso script che analizza non un singolo dominio Waledac ma cicla un whois su una lista di una buona parte dei domini attivi al momento


In pratica si viene ad eseguire un whois non su uno solo dei domini Waledac ma a rotazione su l'intera lista passata allo script e che vediamo a destra nell'immagine.

I risultati della distribuzione degli IP sono simili come distribuzione per nazione, a quelli ottenuti in precedenza ciclando su uno solo dei nomi di dominio ma la cosa particolare e' che comunque per differenti nomi di dominio abbiamo sempre la presenza di gruppi di IP uguali.

Qui vediamo ad esempio un unico IP attribuibile a pc locato in Regno Unito che pero' e' comune a diversi nomi di dominio

In pratica se eseguiamo un whois cambiando il nome del dominio avremo che per diversi nomi verra' anche se non in sequenza presentato lo stesso IP o in altre parole uno pc facente parte della botnet risulta associato a differenti nomi di dominio Waledac.

Edgar

Nessun commento: