Waledac потерял голову

Microsoft добилась судебного приказа об отключении управляющих серверов ботнета-спамера Waledac.

Федеральный суд штата Вирджиния удовлетворил иск Microsoft и разрешил приостановить обслуживание 277 доменов, связанных с системой управления ботнетом. Все эти домены зарегистрированы в зоне .com, оператором которой является американская компания VeriSign. Судебный приказ был выполнен за три дня, и в настоящее время большинство спамботов Waledac отрезаны от командного трафика. Microsoft принимает дополнительные меры, чтобы ограничить их связь с резервными серверами на одноранговом уровне. Структура ботнета приведена в исковом документе компании: http://www.microsoft.com/presspass/events/rsa/docs/complaint.pdf (3,26 Мб).

Этот успех увенчал месяцы кропотливой работы, проводимой под кодовым наименованием «операция b49». В расследовании также принимали участие эксперты Shadowserver, университета им. Джорджа Вашингтона, Symantec и др.

По оценкам специалистов, Waledac насчитывает сотни тысяч зараженных компьютеров, рассеянных по всему миру. Его спамбот (в классификации ЛК Email-Worm.Win32.Iksmas) способен генерировать свыше 1,5 млрд. сообщений в сутки. Основанием для иска послужили 651 млн. спамовых писем, разосланных на адреса Hotmail меньше чем за три декабрьские недели.

Современная популяция Waledac в географическом разделении (источник: Microsoft)

Эксперты намерены добиться постоянного судебного приказа о блокировании одиозных доменов. Как показывает практика, подобные меры достаточно эффективны, но кратковременны: операторы ботнета производят перегруппировку, обновляют свое оружие, и через пару месяцев зомби-сеть снова в строю. Не стоит также сбрасывать со счетов вопрос о нанесенном ими ущербе — зараженные компьютеры пользователей нуждаются в срочной очистке.