Infatti sono attivi, come risulta dal report presente su Sudosecure, alcuni nuovi nomi di dominio di cui vediamo una breve lista
![](http://3.bp.blogspot.com/_-6waw8mcpyI/Sl8DNu3fZKI/AAAAAAAAQYk/-1SHC20ugAI/s320/url+waledac+redir+ph.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/Sl8DNZUUeZI/AAAAAAAAQYc/LqzMe_UOC90/s320/uurls+redir+pharma+2009-07-16_091013.jpg)
Questa ad esempio una delle pagine linkate
![](http://4.bp.blogspot.com/_-6waw8mcpyI/Sl8Da6xj37I/AAAAAAAAQZE/z9TrPhMzQho/s320/ph1.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/Sl8DOGq8NtI/AAAAAAAAQY8/13a1j3rYe0g/s320/ph1+whois3.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/Sl8DN0STGUI/AAAAAAAAQY0/w9nmrbTQnJM/s320/ph1+whois2.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/Sl8DN71hByI/AAAAAAAAQYs/y_uNx2cyVsQ/s320/ph1+whois1.jpg)
mentre quest'altra pagina , sempre linkata in automatico, da uno dei nuovi domini Waledac
![](http://3.bp.blogspot.com/_-6waw8mcpyI/Sl8DbbMsKpI/AAAAAAAAQZU/gXDbcHZFzbQ/s320/ph2.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/Sl8DbKevs5I/AAAAAAAAQZM/fZcZfHnGfTI/s320/ph2+whois.jpg)
Questo un breve report eseguito con uno script Autoit che attua un whois ciclico su uno dei nuovi domini Waledac e che ne conferma la modalita fastflux con variazione continua dell'IP di provenienza.
![](http://3.bp.blogspot.com/_-6waw8mcpyI/Sl8Jx5CiVTI/AAAAAAAAQZc/VZWnWW_5ysM/s320/report+pomeriggio+16+7.jpg)
Gli IP rilevati sono associati a macchine compromesse dal malware, che potrebbero non solo essere collegate all'ultima campagna Waledac del 4 luglio ma anche gia, compromesse durante i mesi precedenti.
Infatti al momento sono ai primi posti nazioni non direttamente legate alla festa dell'indipendenza USA (ultima campagna Waledac) ma che nel report appaiono invece con un numero di macchine colpite in percentuale elevata.(Romania, Korea, Polonia, Bulgaria)
Edgar
Nessun commento:
Posta un commento