Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Powstaje nowy botnet P2P

Tillmann Werner
Kaspersky Lab Expert
Dodany 5 stycznia 2011, 08:57 CET

Rozpoczął się nowy rok – rozrasta się nowy botnet peer-to-peer. Posiada on pewne cechy wspólne z niesławnym botem Waledac, który dzięki wysiłkom firmy Microsoft został zdjęty w zeszłym roku. Nowy bot, mimo że posiada inną bazę kodową, stosuje tę samą strategię rozprzestrzeniania się i, podobnie jak jego poprzednik, posiada infrastrukturę multi-relay (lub peer-to-peer). Nasi koledzy z ShadowServer opublikowali rewelacyjny wpis na blogu na temat tego nowego zagrożenia oraz tego, jak ma się on do wcześniejszych botów. We are currently analyzing the new family and can confirm peer-to-peer-like behavior. When started, the bot loads a list of 500 hard-coded peers. Each entry contains a unique ID, the peer's IP address and a TCP port it is listening on:

Obecnie analizujemy tą nową rodzinę i możemy potwierdzić zachowanie typowe dla peer-to-peer. Po uruchomieniu bot ładuje listę 500 zakodowanych na sztywno peerów. Każdy wpis zawiera unikatowy ID, adres IP peera oraz port TCP, który nadsłuchuje:

971e116b-1c78-4619-abb2-3467427b8861 69.96.23.0:80
d9d04244-2f07-464c-b5c9-ad78e6319546 69.204.140.0:80
89787e02-6de4-4385-ae5f-5eaca64a3fe0 112.204.169.0:80
...

Po 10 minutach bot łączy się z jednym z takich hostów i pobiera listę kolejnych 10 peerów, która jest połączona z jego własną. Wszystkie pobrane informacje o peerze zawierają czas online danego bota:

91f1a368-0aa0-410c-a486-ba23af17f243, 
62.33.242.184:80 lst_act=03.01.2011 15:40:23 live_tm: d0.h6.m44.s10

61410ab9-aa16-441c-84b9-6a8d1257b8da, 
202.144.33.227:80 lst_act=03.01.201115:40:23 live_tm: d1.h23.m25.s59

085a9416-1a0b-403f-abb2-88b2600e9c51, 
114.249.53.47:80 lst_act=03.01.2011 15:40:02 live_tm: d0.h0.m6.s49
...

Botnet hostuje sieć fast-flux, która nieustannie kieruje 12 domen, które są reklamowane w kampaniach spamowych, na jedną z zainfekowanych maszyn. Następnie maszyny te dostarczają kopię szkodliwego pliku. Wysyłaliśmy pytania do 5 domen przez 5 godzin, licząc liczbę unikatowych adresów IP otrzymanych w ciągu minuty (na osi y).

Z wykresu wynika, że domeny są mocno skorelowane ze sobą, co oznacza, że najprawdopodobniej ten sam zestaw maszyn obsługuje wszystkie domeny. Na wykresie widać również typową tendencję spadkową, gdy maszyny znajdują się w trybie offline i tym samym nie stanowią już części sieci fast-flux. Jest to jednak równoważone dodawaniem nowych hostów przez jednostkę kontrolującą.

Rozprzestrzeniane obecnie próbki różnią się pod względem sum kontrolnych, jednak wszystkie mają rozmiar 485888 bajtów. Obecne wersje wykrywamy jako Trojan-Downloader.Win32.FraudLoad.