giovedì 16 luglio 2009

Aggiornamento Waledac botnet 16 luglio 09

L'attivita' dei domini Waledac creati per l'Indipendence Day Usa del 4 luglio e' stata abbastanza breve, mentre sono comparsi da poco alcuni nuovi indirizzi collegati alla botnet.

Infatti sono attivi, come risulta dal report presente su Sudosecure, alcuni nuovi nomi di dominio di cui vediamo una breve lista

Questi domini, supportati dalla botnet Waledac, presentano un codice

che linka in automatico a diverse pagine di pharmacy che a loro volta mostrano avere, in alcuni casi, piu' IP attivi comuni alla stessa URL.

Questa ad esempio una delle pagine linkate

hostata su


mentre quest'altra pagina , sempre linkata in automatico, da uno dei nuovi domini Waledac

presenta questo whois.

Sta in pratica accadendo quello che e' gia' successo in passato, e cioe', dopo la campagna di distribuzione malware, ora la botnet, probabilmente solo in parte, viene usata per distribuire links a pagine di pharmacy ,con layout e contenuti, gia' visti da tempo in rete.

Questo un breve report eseguito con uno script Autoit che attua un whois ciclico su uno dei nuovi domini Waledac e che ne conferma la modalita fastflux con variazione continua dell'IP di provenienza.


Gli IP rilevati sono associati a macchine compromesse dal malware, che potrebbero non solo essere collegate all'ultima campagna Waledac del 4 luglio ma anche gia, compromesse durante i mesi precedenti.
Infatti al momento sono ai primi posti nazioni non direttamente legate alla festa dell'indipendenza USA (ultima campagna Waledac) ma che nel report appaiono invece con un numero di macchine colpite in percentuale elevata.(Romania, Korea, Polonia, Bulgaria)

Edgar

Nessun commento: