Microsoft pokonał botnet z pomocą... sądu

Przedstawiciele koncernu z Redmond poinformowali, iż udało im się uzyskać sądowy nakaz zamknięcia 277 domen .com, wykorzystywanych przez operatorów botnetu Waledec do kontrolowania komputerów-zombie. Skutki tej decyzji powinniśmy odczuć lada chwila - specjaliści ds. bezpieczeństwa spodziewają się, że w ciągu kilku godzin aktywność Waledeca praktycznie zaniknie.
Microsoft zdołał w ten sposób odciąć hydrze wszystkie jej głowy - w Sieci co prawda wciąż pozostaną setki tysięcy komputerów-zombie, zainfekowanych botwormem Waledec, ale bez serwerów kontolujących będą one dla operatorów botnetu zupełnie bezużyteczne.

Waledec był w ostatnich miesiącach jednym z najaktywniejszych botnetów w Sieci - z szacunków Microsoftu wynika, że za jego pośrednictwem wysyłano nawet do 1,5 mld spamowych wiadomości dziennie. Kilka firm już wielokrotnie próbowało go unicestwić - niestety, do tej pory bez efektu. Najbliżej tego był już raz Microsoft - w kwietniu 2009 r. koncern wyposażył swoje darmowe (i dostarczane automatycznie wraz z aktualizacjami) narzędzie antywirusowe MSRT w sygnatury Waledeca. To zaowocowało co prawda znaczącym obniżeniem liczebności botnetu, jednak nie doprowadziło do jego zlikwidowania.

Dlatego też tym razem koncern z Redmond zastosował inną strategię - namierzył wszystkie serwery wykorzystywane do kontrolowania Waledeca i skierował przeciwko im operatorom pozwy sądowe. Metoda okazała się skuteczna - sąd wydał wczoraj firmie Verisign (zarządzającej domenami .com) nakaz zamknięcia wskazanych serwerów i proces ten został już uruchomiony. "Na efekty nie trzeba było długo czekać - gdy tylko VeriSign zaczął odcinać serwery, Waledec zaczął gwałtownie się kurczyć. Udało nam się w ten sposób zakłócić komunikację pomiędzy wchodzącymi w skład botnetu zombiePC, a osobami kontrolującymi całą sieć" - tłumaczą przedstawiciele Microsoftu.

Specjaliści z Redmond przyznają też, że walka nie jest jeszcze zakończona - Waledec wykorzystuje do komunikowania się komputerów technologię P2P, więc całkowite wyeliminowanie go będzie znacznie trudniejsze. Ale firma nawiązała już współpracę z innymi ekspertami ds. bezpieczeństwa i obecnie prowadzone są dodatkowe działania, których celem jest całkowite wyeliminowanie botnetu z Sieci (nie podano, o jakie dokładnie działania chodzi)

Jeff Williams, szef Microsoft Malware Protection Cente, tłumaczy też, że choć cała akcja (nazywana Operation b49) może wydawać się błyskawiczna, to tak naprawdę przygotowania do niej trwały miesiącami, podczas których specjaliści żmudnie namierzali i identyfikowali kolejne serwery kontrolne.
Podziel się |
Oryginalny tekst został opublikowany na www.securitystandard.pl
Ocena:
Twoja ocena:

Komentarze (3)

~enkidu

26-02-2010 00:38
odpowiedz zgłoś do moderacji

przecież co pewien czas ktoś próbuje zrobić z linuksiarzy członkow botnetu - widać jednak do takedownu kilkunastu serwerów ten 1% użytkowników 1% komputerów starcza z nadmiarem ;)

~Gall Anonim

25-02-2010 23:15
odpowiedz zgłoś do moderacji

Czekam na kolejny artykuł Pana Długosza, omawiający przewagi bezpieczeństwa Windows i podający jako przykład tychże, że nikt z osób zaangażowanych w projekty Linuksowe nie walczył był do upadłego z robakiem. A, i jeszcze na plus Windy zaliczyć mozna, że parchaty botnet za dumny był, by Linuksa atakować :)

~enkidu

25-02-2010 21:41
odpowiedz zgłoś do moderacji

cóż. powodzenia. Twórcy malware są zawsze krok do przodu. Zamknięcie domen kontrolnych moze coś da - o ile tuż przed tym zamknięciem nie zostaną wydane polecenia aktualizacji botnetu. Na przykład do wersji wykorzystującej jedynie p2p. Jak miałaby wtedy wyglądać kontrola nad takim botnetem? Zaczynamy od tego, że część zainfekowanych (i niezaNATowanych) numerów IP znamy. Wysyłamy więc do nich polecenie "skanowania" zakresów IP odpowiednią ramką. jeżeli gdzieś istnieje wezeł botnetu - odpowie, a węzeł skanujący doda go do swojej listy. A co z zanatowanymi węzłami? wystarczy na chwilę przed wyłączeniem serwerów kontrolnych wydać polecenie skanowania obszaru / meldowania się u węzłów poza NATem. Po kilkunastu iteracjach skanowania - botnet jest odtworzony i jeszcze groźniejszy, bo każdy zainfekowany komputer może stać się serwerem kontrolnym. Mechanizm dość prosty dla nawet niezbyt rozgarniętego programisty. Na ile skuteczny? może kiedyś przetestuję w jakiejś modelowej sieci ;)

Polecane

PC World z prezentem!

Tak, zamawiam 12 wydań PC World po 14,09 zł każde (zamiast 19,90 zł) od numeru 6/2012.
Dodatkowo program Panda Antyvirus Pro 2012,
chroniący aż 3 komputery, dostanę za darmo.

PC World 6/2012
Nowy numer PC World 6/2011
Razem: 169


  • Z darmową wysyłką
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Tagi

Android Google Microsoft Poradnik Samsung aero apple defragmentacja facebook filmy gadżety internet loader optymalizacja pc pc world porady problem procesy przewodnik przyspieszanie rejestr rtm serwisy społecznościowe start uruchamianie systemu windows 7 wskazówki youtube zamykanie systemu