Trattandosi di malware poco riconosciuto e che se installato sul PC lo trasformerebbe in 'zombie' al servizio della botnet prendete tutte le precauzioni del caso se volete visitare le pagine che lo distribuiscono ed analizzarne l'eseguibile.
Dopo qualche ora dalla sua comparsa, ecco online i nuovi siti con nomi piu' consoni al nuovo tema del '4 luglio' ovvero l'Indipendence Day USA
che distribuiscono la pagina con allegato worm Waledac.
Come si vede anche l'eseguibile presenta adesso nomi piu' attinenti al nuovo tema e rimane al momento sempre poco riconosciuto da una scansione VT,
sempre ricordando tutti i limiti di una scansione on-line - on-demand.
Questo invece un report ottenuto con uno script Autoit su uno dei nuovi domini Waledac.
In pratica viene eseguito ciclicamente un whois su uno dei nomi di dominio Waledac e contato il numero di IP unici che vengono restituiti come appartenenti alla pagina Waledac in fase di test.
Anche se si tratta chiaramente di una procedura che non tiene conto dell'effettiva presenza dell'eseguibile sulla pagina all'IP indicato dal whois il test , verificato ormai da tempo, sembra confermare i dati, ottenuti con mezzi ben piu' sofisticati.
Inoltre c'e' da ricordare che mentre ad esempio il conteggio degli IP coinvolti , sui tracker online, somma il totale degli IP a partire da qualche mese, i valori ottenuti con questo script rispecchiano la distribuzione ATTUALE delle macchine coinvolte.
Il risultato ottenuto, mostra che al momento le macchine che hostano le pagine con il nuovo malware sono come sempre in prevalenza locate in Usa, ma come gia accaduto in passato la Korea e' una delle nazioni con un notevole numero di pc compromessi online ora.
Anche questa volta la Cina, che dal punto di vista delle macchine installate e dei problemi malware ricorrenti dovrebbe essere ai primi posti, non e' presente se non con la localita' di Hong Kong, fatto gia accaduto in passato per altre distribuzioni Waledac. (sembrerebbe che gli IP cinesi siano esclusi dalla botnet o filtrati in qualche maniera)
Edgar
Dopo qualche ora dalla sua comparsa, ecco online i nuovi siti con nomi piu' consoni al nuovo tema del '4 luglio' ovvero l'Indipendence Day USA
che distribuiscono la pagina con allegato worm Waledac.
Come si vede anche l'eseguibile presenta adesso nomi piu' attinenti al nuovo tema e rimane al momento sempre poco riconosciuto da una scansione VT,
sempre ricordando tutti i limiti di una scansione on-line - on-demand.
Questo invece un report ottenuto con uno script Autoit su uno dei nuovi domini Waledac.
In pratica viene eseguito ciclicamente un whois su uno dei nomi di dominio Waledac e contato il numero di IP unici che vengono restituiti come appartenenti alla pagina Waledac in fase di test.
Anche se si tratta chiaramente di una procedura che non tiene conto dell'effettiva presenza dell'eseguibile sulla pagina all'IP indicato dal whois il test , verificato ormai da tempo, sembra confermare i dati, ottenuti con mezzi ben piu' sofisticati.
Inoltre c'e' da ricordare che mentre ad esempio il conteggio degli IP coinvolti , sui tracker online, somma il totale degli IP a partire da qualche mese, i valori ottenuti con questo script rispecchiano la distribuzione ATTUALE delle macchine coinvolte.
Il risultato ottenuto, mostra che al momento le macchine che hostano le pagine con il nuovo malware sono come sempre in prevalenza locate in Usa, ma come gia accaduto in passato la Korea e' una delle nazioni con un notevole numero di pc compromessi online ora.
Anche questa volta la Cina, che dal punto di vista delle macchine installate e dei problemi malware ricorrenti dovrebbe essere ai primi posti, non e' presente se non con la localita' di Hong Kong, fatto gia accaduto in passato per altre distribuzioni Waledac. (sembrerebbe che gli IP cinesi siano esclusi dalla botnet o filtrati in qualche maniera)
Edgar
Nessun commento:
Posta un commento