domenica 3 gennaio 2010

Nuovamente attiva Waledac Botnet

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Si tratta molto spesso di exploits e files eseguibili malware, poco riconosciuti dai software AV in commercio

Viene segnalata in rete, un ripresa dell'attivita' di Waledac Botnet attraverso la distribuzione di eseguibile malware linkato da pagina che propone gli auguri di nuovo anno

Attraverso mails di spam si viene portati sulle pagine dei falsi auguri dove, a differenza di altre volte quando era necessario cliccare sul link per scaricare il file malware, e' presente uno script che provvede, tramite redirect su altro sito, a scaricare il file malware.

Al momento sono numerosi i domini registrati che linkano a Waledac, mentre l'eseguibile viene poco rilevato da una analisi VT


C'e' anche da rilevare che il file eseguibile e' comunque presente sui siti linkati, distribuiti dalla botnet Waledac , e puo' essere scaricato in maniera diretta dalla pagina

Questi alcuni dei links diretti al file malware Waledac, ricordando che si tratta di eseguibile pericoloso in quanto poco rilevato dagli AV.
Consiglio pertanto, a chi non pratico della materia, di evitare il download del file eseguibile che se attivato trasformerebbe il vostro PC in uno zombie al servizio della botnet.

Una analisi con whois eseguito ciclicamente su uno dei domini che presentano il file eseguibile (tenendo sempre conto dei limiti che questo comporta) mostra che la distribuzione delle macchine infette (zombies botnet)

ricalca le precedenti, con gli USA (in particolare il New Jersey) al primo posto ed anche la Korea come una delle nazioni con piu' computers infetti.
C'e' anche da considerare che eseguendo l'analisi quando es.in Europa e' notte questo limita comunque il numero di pc coinvolti ed online al momento della scansione, locati nel vecchio continente.

Ulteriori dettagli su:

http://malwareint.blogspot.com

http://garwarner.blogspot.com

e sul tracker della botnet

http://www.sudosecure.net

Edgar

Nessun commento: