Microsoft pokonał botnet z pomocą... sądu
25 lutego 2010 13:53, securitystandard
Waledec był w ostatnich miesiącach jednym z najaktywniejszych botnetów w Sieci - z szacunków Microsoftu wynika, że za jego pośrednictwem wysyłano nawet do 1,5 mld spamowych wiadomości dziennie. Kilka firm już wielokrotnie próbowało go unicestwić - niestety, do tej pory bez efektu. Najbliżej tego był już raz Microsoft - w kwietniu 2009 r. koncern wyposażył swoje darmowe (i dostarczane automatycznie wraz z aktualizacjami) narzędzie antywirusowe MSRT w sygnatury Waledeca. To zaowocowało co prawda znaczącym obniżeniem liczebności botnetu, jednak nie doprowadziło do jego zlikwidowania.
Dlatego też tym razem koncern z Redmond zastosował inną strategię - namierzył wszystkie serwery wykorzystywane do kontrolowania Waledeca i skierował przeciwko im operatorom pozwy sądowe. Metoda okazała się skuteczna - sąd wydał wczoraj firmie Verisign (zarządzającej domenami .com) nakaz zamknięcia wskazanych serwerów i proces ten został już uruchomiony. "Na efekty nie trzeba było długo czekać - gdy tylko VeriSign zaczął odcinać serwery, Waledec zaczął gwałtownie się kurczyć. Udało nam się w ten sposób zakłócić komunikację pomiędzy wchodzącymi w skład botnetu zombiePC, a osobami kontrolującymi całą sieć" - tłumaczą przedstawiciele Microsoftu.
Specjaliści z Redmond przyznają też, że walka nie jest jeszcze zakończona - Waledec wykorzystuje do komunikowania się komputerów technologię P2P, więc całkowite wyeliminowanie go będzie znacznie trudniejsze. Ale firma nawiązała już współpracę z innymi ekspertami ds. bezpieczeństwa i obecnie prowadzone są dodatkowe działania, których celem jest całkowite wyeliminowanie botnetu z Sieci (nie podano, o jakie dokładnie działania chodzi)
Jeff Williams, szef Microsoft Malware Protection Cente, tłumaczy też, że choć cała akcja (nazywana Operation b49) może wydawać się błyskawiczna, to tak naprawdę przygotowania do niej trwały miesiącami, podczas których specjaliści żmudnie namierzali i identyfikowali kolejne serwery kontrolne.
Komentarze (3)
- ~enkidu
- 2010-02-25 21:41:12
cóż. powodzenia. Twórcy malware są zawsze krok do przodu. Zamknięcie domen kontrolnych moze coś da - o ile tuż przed tym zamknięciem nie zostaną wydane polecenia aktualizacji botnetu. Na przykład do wersji wykorzystującej jedynie p2p. Jak miałaby wtedy wyglądać kontrola nad takim botnetem? Zaczynamy od tego, że część zainfekowanych (i niezaNATowanych) numerów IP znamy. Wysyłamy więc do nich polecenie "skanowania" zakresów IP odpowiednią ramką. jeżeli gdzieś istnieje wezeł botnetu - odpowie, a węzeł skanujący doda go do swojej listy. A co z zanatowanymi węzłami? wystarczy na chwilę przed wyłączeniem serwerów kontrolnych wydać polecenie skanowania obszaru / meldowania się u węzłów poza NATem. Po kilkunastu iteracjach skanowania - botnet jest odtworzony i jeszcze groźniejszy, bo każdy zainfekowany komputer może stać się serwerem kontrolnym. Mechanizm dość prosty dla nawet niezbyt rozgarniętego programisty. Na ile skuteczny? może kiedyś przetestuję w jakiejś modelowej sieci ;)
- ~Gall Anonim
- 2010-02-25 23:15:27
Czekam na kolejny artykuł Pana Długosza, omawiający przewagi bezpieczeństwa Windows i podający jako przykład tychże, że nikt z osób zaangażowanych w projekty Linuksowe nie walczył był do upadłego z robakiem. A, i jeszcze na plus Windy zaliczyć mozna, że parchaty botnet za dumny był, by Linuksa atakować :)
- ~enkidu
- 2010-02-26 00:38:07
przecież co pewien czas ktoś próbuje zrobić z linuksiarzy członkow botnetu - widać jednak do takedownu kilkunastu serwerów ten 1% użytkowników 1% komputerów starcza z nadmiarem ;)
Popularne produkty
Smartfon APPLE iPhone 4S 32GB Biały
Pobierz bezpłatnego e-booka 
Kariera w IT 2012
