Torna el successor de Storm

02/02/2011
Arroba
Investigadors tafanegen en Waledac i troben 500.000 contrasenyes de correu.

Alguns investigadors han fet una ullada a la recentment renovada botnet Waledac i el que han trobat no és gens encoratjador. 

Waledac, un successor de la temible botnet Storm, conté unes 500.000 contrasenyes de comptes de correu POP3, que permet que s'envie correu brossa a través dels servidors SMTP, segons les troballes publicades el dimarts, per l'empresa de seguretat Last Line. Segrestant servidors de correu legítims, Waledac és capaç d'evadir les tècniques de bloqueig per llistes negres que utilitzen molts dels filtres anticorreu brossa per a descartar correu brossa. 

A més, els controladors de Waledac posseeixen al voltant de 124.000 credencials de comptes FTP. Aquestes contrasenyes els permeten executar programes que infecten automàticament els llocs web, amb scripts que redirigeixen als usuaris a llocs on se'ls instal·la codi maliciós i publiciten medicaments falsos. L'últim mes, els investigadors van identificar al voltant de 9.500 pàgines web en 222 llocs, que contenien enllaços maliciosos afegits per Waledac. 

El descobriment ve un mes després de trobar un nou propagador de codi maliciós, que té totes les característiques de la botnet Storm. Storm va fer furor els anys 2007 i 2008, però després va estar molt de temps latent, el més probable és que això fóra degut a la quantitat de correu brossa que va generar. Els que més es van alegrar d'aquest fet va ser Microsoft, la qual, durant l'últim any, va pleitejar per a obtindre 276 adreces d'internet que s'utilitzaven per a controlar Waledac. 

"La xarxa d’ordinadors zombies (botnet) Waledac, és actualment només una ombra del que era, però tot apunta que vaja a canviar; tenint en compte el nombre de credencials compromeses que posseeixen els seus amos", van escriure els investigadors de Last Line. 

A més de la "generosa ajuda" de les credencials compromeses, Waledac també ve amb un nou sistema de control que distribueix una llista de nodes per a infectar màquines.co

Tags: stormbotnet