Podziel się opinią o serwisie
popularne komentowane nowości

Biblioteka Wiedzy poleca

Skimmerzy kontra banki

Nadużycia powodowane przez cyberprzestępców, kopiujących karty płatnicze, wpisały się w codzienne życie wielu banków. Chociaż wprowadzane są coraz...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Microsoft pokonał botnet z pomocą... sądu

25 lutego 2010

securitystandard
Przedstawiciele koncernu z Redmond poinformowali, iż udało im się uzyskać sądowy nakaz zamknięcia 277 domen .com, wykorzystywanych przez operatorów botnetu Waledec do kontrolowania komputerów-zombie. Skutki tej decyzji powinniśmy odczuć lada chwila - specjaliści ds. bezpieczeństwa spodziewają się, że w ciągu kilku godzin aktywność Waledeca praktycznie zaniknie.

Microsoft zdołał w ten sposób odciąć hydrze wszystkie jej głowy - w Sieci co prawda wciąż pozostaną setki tysięcy komputerów-zombie, zainfekowanych botwormem Waledec, ale bez serwerów kontolujących będą one dla operatorów botnetu zupełnie bezużyteczne.

Waledec był w ostatnich miesiącach jednym z najaktywniejszych botnetów w Sieci - z szacunków Microsoftu wynika, że za jego pośrednictwem wysyłano nawet do 1,5 mld spamowych wiadomości dziennie. Kilka firm już wielokrotnie próbowało go unicestwić - niestety, do tej pory bez efektu. Najbliżej tego był już raz Microsoft - w kwietniu 2009 r. koncern wyposażył swoje darmowe (i dostarczane automatycznie wraz z aktualizacjami) narzędzie antywirusowe MSRT w sygnatury Waledeca. To zaowocowało co prawda znaczącym obniżeniem liczebności botnetu, jednak nie doprowadziło do jego zlikwidowania.

Dlatego też tym razem koncern z Redmond zastosował inną strategię - namierzył wszystkie serwery wykorzystywane do kontrolowania Waledeca i skierował przeciwko im operatorom pozwy sądowe. Metoda okazała się skuteczna - sąd wydał wczoraj firmie Verisign (zarządzającej domenami .com) nakaz zamknięcia wskazanych serwerów i proces ten został już uruchomiony. "Na efekty nie trzeba było długo czekać - gdy tylko VeriSign zaczął odcinać serwery, Waledec zaczął gwałtownie się kurczyć. Udało nam się w ten sposób zakłócić komunikację pomiędzy wchodzącymi w skład botnetu zombiePC, a osobami kontrolującymi całą sieć" - tłumaczą przedstawiciele Microsoftu.

Specjaliści z Redmond przyznają też, że walka nie jest jeszcze zakończona - Waledec wykorzystuje do komunikowania się komputerów technologię P2P, więc całkowite wyeliminowanie go będzie znacznie trudniejsze. Ale firma nawiązała już współpracę z innymi ekspertami ds. bezpieczeństwa i obecnie prowadzone są dodatkowe działania, których celem jest całkowite wyeliminowanie botnetu z Sieci (nie podano, o jakie dokładnie działania chodzi)

Jeff Williams, szef Microsoft Malware Protection Cente, tłumaczy też, że choć cała akcja (nazywana Operation b49) może wydawać się błyskawiczna, to tak naprawdę przygotowania do niej trwały miesiącami, podczas których specjaliści żmudnie namierzali i identyfikowali kolejne serwery kontrolne.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 7)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

~enkidu

  • ocena: brak oceny
  • IP: 153.19.212.44
  • 25-02-2010, 21:41

cóż. powodzenia. Twórcy malware zawsze krok do przodu. Zamknięcie domen kontrolnych moze coś da - o ile tuż przed tym zamknięciem nie zostaną wydane polecenia aktualizacji botnetu. Na przykład do wersji wykorzystującej jedynie p2p. Jak miałaby wtedy wyglądać kontrola nad takim botnetem? Zaczynamy od tego, że część zainfekowanych (i niezaNATowanych) numerów IP znamy. Wysyłamy więc do nich polecenie "skanowania" zakresów IP odpowiednią ramką. jeżeli gdzieś istnieje wezeł botnetu - odpowie, a węzeł skanujący doda go do swojej listy. A co z zanatowanymi węzłami? wystarczy na chwilę przed wyłączeniem serwerów kontrolnych wydać polecenie skanowania obszaru / meldowania się u węzłów poza NATem. Po kilkunastu iteracjach skanowania - botnet jest odtworzony i jeszcze groźniejszy, bo każdy zainfekowany komputer może stać się serwerem kontrolnym. Mechanizm dość prosty dla nawet niezbyt rozgarniętego programisty. Na ile skuteczny? może kiedyś przetestuję w jakiejś modelowej sieci ;)

~Gall Anonim

  • ocena: brak oceny
  • IP: 82.29.206.156
  • 25-02-2010, 23:15

Czekam na kolejny artykuł Pana Długosza, omawiający przewagi bezpieczeństwa Windows i podający jako przykład tychże, że nikt z osób zaangażowanych w projekty Linuksowe nie walczył był do upadłego z robakiem.
A, i jeszcze na plus Windy zaliczyć mozna, że parchaty botnet za dumny był, by Linuksa atakować :)