venerdì 7 gennaio 2011

Ritorna Waledac ? Aggiornamento (7 gennaio 2011)

Come accennato qui, i domini fast-flux che per qualche giorno hanno proposto questa pagina

con downlaod di eseguibile malware e link ad exploit, ieri risultavano Off-line.

Dopo una breve pausa, ora hanno iniziato a proporre un link

a questa pagina di pharmacy

con whois

Questo un report che dimostra come la totalita' dei domini coinvolti sia passata, dalla pagina con malware, ad un link a pagina di pharmacy

Da notare che comunque i domini visti sopra, utilizzino sempre tecnica in fast-flux per mascherare l'Ip di provenienza, come vediamo oda una breve analisi con whois ciclico di eplarine.com

Per una ulteriore analisi dell'acquisizione degli IP waledac rimando ad alcuni post del blog che sono ora ospitati su questo indirizzo WEB visto che le immagini sono state cancellate dal blog originale per motivi di 'spazio hosting' fornito da Google

http://edetools.wordpress.com/2009/02/06/botnet-waledac-alcune-verifiche/

Ritornando alla distribuzione malware dei giorni scorsi con il probabile scopo di compromettere il maggior numero di PC possibile, ricordo che tra non molto avremo una nuova occasione di eventuale 'espansione' della possibile botnet e precisamente la festivita' di San Valentino.(14 febbraio)

Come risulta da quanto successo negli scorsi anni, ad esempio con Waledac botnet, l'occasione della nota festivita' era stata ampiamente sfruttata per diffondere false mails con links ad eseguibile pericoloso .
Questi due dei tanti links ad analisi di Valentine Cards del mese di febbraio 2009 legate appunto alla distribuzione del malware:

http://edetools.wordpress.com/2009/02/10/valentines-card-development-kit/


http://edetools.wordpress.com/2009/02/13/aggiornamento-waledac-13-febbraio-pomeriggio/

ma molti post al riguardo si possono trovare anche cercando tra quelli proposti nel febbraio 2009 sempre su http://edetools.wordpress.com/ (basta effettuare ricerca per mese con l'apposita opzione ( in alto a destra nella pagina ) e denominata 'Archivio storico posts'

Una particolarita' che fa pensare che al momento le possibilita' di espansione di questa probabile nuova botnet non siano cosi alte come in passato e' anche il fatto che se paragoniamo il numero di domini attiviledac nel gennaio 2009 vediamo che allora erano decine i nomi di dominio creati per di piu' continuamente per supportare la diffusione della botnet, mentre oggi i domini che erano attivi erano in numero abbastanza basso (almeno vedendo quelli riportati da shadwoserver) e data di creazione che per eplarine.com risale al 26 aprile 2010

Andando ancora piu' indietro nel tempo possiamo vedere come, sempre nel febbraio ma 2008, era Storm Worm la botnet supportata da false valentine e-card .

http://edetools.wordpress.com/2009/02/10/valentines-card-development-kit/

Sara quindi interessante osservare se con l'avvicinarsi del mese di febbraio ci saranno ulteriori sviluppi sulla distribuzione malware legata a questa probabile nuova botnet o se si e' trattato solo di un tentativo isolato terminato con la diffusione di links a siti di pharmacy in grande quantita'.

Edgar

Nessun commento: