A Hotmail nem bír a Waledac-zombikkal

írta Kristóf Csaba, 2010. március 01.

Címkék: spam, zombi PC, botnet, biztonság, microsoft

A legfrissebb adatok szerint a Microsoft fellépése a Waledac botnet ellen nem volt annyira sikeres, mint amennyire arra korábban számítani lehetett.

A Microsoft a Hotmail rendszerében 2009. december 3-21. között a levélszemét mennyiségének jelentős növekedését észlelte. A jelenség kivizsgálása során kiderült, hogy a kéretlen levelek elszaporodásának egyik legfontosabb kiváltó oka a Waledac botnet fokozódó aktivitása volt, amely az említett időszakban több mint 650 millió spamet próbált eljuttatni a felhasználók Hotmail postafiókjaiba. Mindezt a Microsoft érthető módon nem kívánta szó nélkül hagyni, és egy elemzőmunka keretében összegyűjtötte azokat a domaineket, amelyek szervesen részt vettek a Waledac működésében, majd arra kérte a bíróságot, hogy vonja vissza ezen domaineket. Az igazságszolgáltatás helyt adott a Microsoft kérelmének, és 277 domain megszüntetését rendelte el.

Az ítéletről múlt szerdán számolt be először a Microsoft. Akkor a cég nagy reményeket fűzött a Waledac tevékenységének visszaszorításához. "Ez az akció gyors és hatásos ahhoz, hogy a Waledac adatforgalma megbénítható legyen, és a vezérlőszerverek valamint a zombi számítógépek közötti kapcsolat világszerte megszakíthatóvá váljon" - mondta Tim Cranton, a Microsoft egyik szakembere a bírósági ítélet bejelentése után. Emellett a cég a spamek mennyiségének jelentősebb visszaszorításában is bizakodott. Mostanra azonban kiderült, hogy az akció mégsem kényszerítette térdre a botnetet.

A kéretlen levelek szűrésével foglalkozó Spamhaus jelentése szerint semmiféle változás nem volt megfigyelhető az utóbbi napokban a spamek számában. Hasonlóan vélekedett a SecureWorks is, amely szintén jelezte, hogy a levélszemét mennyiségében nem figyelhetők meg kedvező változások. A biztonsági cégek szerint mindez elsősorban annak tudható be, hogy a Waledac botnet nem igazán a spammelési tevékenységéről híresült el. A Spamhaus statisztikái szerint a globális spamforgalomnak mindössze az egy százalékát teszik ki a Waledac-ből származó kéretlen levelek. Richard Cox, a cég informatikai igazgatója elmondta, hogy ők sokkal inkább aggódnak a Zeus botnet ténykedése miatt, ugyanis az jóval veszélyesebb hálózat, mint a Waledac.

Joe Stewart, a SecureWorks víruselemzési vezetője valószínűtlennek tartja, hogy a 277 domain visszavonása ténylegesen megbénítaná a Waledac-et. Ez a botnet ugyanis peer-to-peer protokollra és technikákra épül, vagyis egy-egy szerver vagy domain kiesése nem okoz észrevehető fennakadásokat a hálózat működésében. Stewart ugyan elismerte, hogy a botnetet építő trójai kódjában vannak előre definiált IP-címek, de ezek mindegyikének letiltására lenne szükség ahhoz, hogy észrevehető eredményeket lehessen elérni. A szakember nem titkolta, hogy jelenleg nem tud olyan technikai lehetőségről, amellyel ez a botnet felszámolhatóvá válna. Stewart a nyilatkozatában ugyanakkor azt is megemlítette, hogy a Microsoft kezdeményezése jó kezdett, és egy megfelelő irányba mutató lépés volt. Ez a megközelítés ugyanis vélhetőleg néhány más botnet esetében sikerre vezethet.

Az Tim Cranton közleményéből is kiderült, hogy a Microsoft sem gondolta azt, hogy a mostani akciójával teljesen véget tud vetni a Waledac pályafutásának. A szakember ugyanis rávilágított arra, hogy ugyan sok zombi számítógépet sikerült kirekeszteni a botnetből, de ettől még a fertőzött PC-ken rajta maradt a kártékony hálózat építését végző trójai program.

A küzdelem nem most kezdődött
A Microsoftnak nem a mostani volt az első lépése a Waledac tevékenységének visszaszorítása érdekében. A cég 2009 augusztusában felkészítette a kártékony alkalmazások eltávolítására alkalmas (MSRT) szoftverét azon rosszindulatú programok irtására, amelyek részt vettek a botnet működésében. Eközben természetesen az ingyenes, Microsoft Security Essentials alkalmazásával is megpróbálta felvenni a küzdelmet a botnet ellen. A cég adatai szerint a biztonsági szoftverei révén eddig 96 ezer számítógépről sikerült eltávolítani Waledac-hez köthető rosszindulatú kódokat.