Waledac – реинкарнация «штормового» ботнета?

Специалисты по сетевой безопасности находят все больше доказательств сходства между «штормовым» ботнетом и обнаруженной в конце минувшего года зомби-сетью Waledac. Есть мнение, что последняя сформирована той же криминальной группировкой путем архитектурных усовершенствований и замены бинарного кода.

«Штормовой» ботнет прекратил свою деятельность в середине сентября прошлого года. Однако накануне Рождества эксперты зафиксировали появление вредоносного спама, тактика распространения которого позволяет предположить, что слухи о смерти ботнета несколько преувеличены. Как и в аналогичных спам-кампаниях, проведенных со «штормового» ботнета, злоумышленники в качестве приманки избрали форму виртуальной открытки. Открытка содержала вредоносную ссылку. Имя «троянского» файла, загружавшегося на машину получателя при активации ссылки, — ecard.exe или postcard.exe, также совпало с именем вредоносного файла, использовавшегося ранее при рассылках со «штормового» ботнета.

Однако сама троянская программа была абсолютно новой, а для обмена между ботами использовался не р2р-, а http-протокол, затруднявший обнаружение. Кроме того, оказалось, что при первичной установке связи с узлом используется AES-шифрование, а весь последующий информационный трафик шифруется мощным 1024-битовым ключом RSA.

Эксперты некоммерческой организации Shadowserver отмечают, что обмен между отдельными узлами Waledac осуществляется на паритетных началах, как в р2р-сети. Если в ботнете и имеется командный сервер, то его присутствие обнаружить пока не удалось. Интересно также, что в случае несостоявшегося соединения с каким-либо IP-адресом троянец ждет десять минут, а затем ищет некий php-файл в одной из доменных зон, на которую он жестко ориентирован.

Как и в «штормовом» ботнете, инфраструктура Waledac защищена технологией
fast-flux, заключающейся в динамической перерегистрации IP-адресов. Как обнаружили исследователи компании Arbor Networks, Waledac использует те же IP-адреса, что и «штормовой» ботнет. На настоящий момент им удалось идентифицировать 1336 таких адресов.

По оценкам Arbor Networks, новый ботнет в настоящее время насчитывает около 35000 зомби-компьютеров и пока специализируется на рассылке традиционного спама. Эксперты предполагают, что он продолжит увеличиваться в размерах и в ближайшем году составит конкуренцию своим более именитым соперникам.