sabato 27 febbraio 2010

Microsoft Cracking Down Waledac Botnets. Opinioni contrastanti

E' auspicabile che la notizia venga confermata nei prossimi giorni ma rimangono ancora dei dubbi sulla definitiva messa OFF-line di Waledac, una delle Botnet piu' diffuse degli ultimi anni.

La notizia apparsa in rete su http://blogs.technet.com/microsoft_blog informa di una azione Microsoft volta a mettere offline i principali domini e relativi centri di controllo della Botnet.

Chiaramente rimarrebbero ancora le migliaia di PC compromessi (zombies) che a questo punto sarebbero privi del controllo essendo stati messi OFFline i controllori.

Questa la situazione attuale che sembra venire messa in dubbio da alcune considerazioni apparse, ad esempio, su www.computerworld.com
dove e' presente una dichiarazione di Joe Stewart, direttore di analisi del malware di SecureWorks e noto ricercatore di botnet
La prima cosa evidente e' che , contrariamente a quanto affermato da Microsoft , il volume di SPAM non sembrerebbe diminuito dopo la messa Offline di Waledac.
Secondo Spamhaus non sono state notate significative riduzioni nel volume di spam ed inoltre Richard Cox, il responsabile informazione di Spamhaus. ha anche detto che Waledac non e' principalmente un motore di spam.
Sempre secondo Cox, "Waledac non era una minaccia elevata, (meno dell'1% del traffico spam) , mentre sembrerebbe molto piu' preoccupante la botnet Zeus, che sta creando una notevole quantita' di traffico di spam".
Lo stesso Google non sembra rilevare al momento una riduzione dello Spam significativa attraverso l'analisi della risposta del suo software di filtro dello Spam.

L'articolo prosegue indicando che avendo messo OFF 277 domini com associati al botnet, si sarebbe seriamente compromesso il funzionamento di Waledac spezzando il collegamento tra il comando e centri di controllo delle botnet e la maggior parte delle sue migliaia di computer zombie in tutto il mondo ma Stewart ha detto che e' molto improbabile che la mossa abbia effettivamente paralizzato la botnet.
"Waledac utilizza una rete peer-to-peer per il suo comando e controllo", riferendosi al meccanismo di controllo di Waledac. In realta' secondo Stewart, Waledac sara' in grado di comunicare "a tempo indeterminato", utilizzando gli indirizzi IP che sono hard-coded nel bot Trojan.
Per uccidere una botnet come Waledac, Microsoft avrebbe dovuto colpire non solo i domini ma anche ogni possibile indirizzo IP codificato nel malware. "Non vedo come si puo' uccidere una botnet come questa," ha detto Stewart. "Non esiste una singola vulnerabilita' che possa mettere Offline Waledac ".
Questo quanto riportato da www.computerworld.com.

Bisognera' quindi attendere qualche giorno per verificare se effettivamente Waledac e' definitivamente fuori gioco o chi la gestisce correra' ai ripari per ripristinarne il funzionamento,
ricordando come scrive F Secure BLOG in maniera divertente:

“..........We haven't yet seen a drop in spam or bot samples, but we're waiting and watching.
It will likely take some time for the bodies to stop moving around even though the heads have been cut off.
They are zombies after all…”

che tradotto


…........ Non abbiamo ancora visto un calo di SPAM o codici BOT , ma stiamo aspettando e guardando.
E' probabile che ci vorra' un certo tempo per i “corpi” di smettere di andare in giro anche se le teste sono state tagliate. Dopo tutto, sono ZOMBIES....

Edgar

Nessun commento: