A Waledac-botnet még nem a múlté

Néhány héttel ezelőtt a Microsoft szakértőinek és informatikusoknak sikerült megbénítaniuk a Waledac nevű botnetet, azonban ez csak az első lépés volt.

Azzal, hogy a redmondi konszern munkatársainak közreműködésével sikerült kivonni a forgalomból a világ egyik legnagyobb zombi számítógép-hálózatát, még közel sem oldódott meg minden. A szakértőket tíz napja többek között az a kérdés foglalkoztatja, hogy milyen valódi sikerrel zárult a nem mindennapi akció és mindenekelőtt: ki fogja megtisztítani a kártevőkkel fertőzött számítógépeket?

A Waledac kiiktatásához a hatóságok egy trükköt vetettek be: egyszerűen lekapcsolták a fő szerver internethozzáférését. A hír bejárta a világsajtót, azonban az igazi feladatok csak most kezdődnek. "A fertőzött számítógépek megszerzett IP-címeit most szeretnénk továbbítani az illetékes internetszolgáltatóknak és csak ők kereshetik majd meg az embereket" - elentette ki Thorsten Holz informatikus. A szakember és kollégája, Ben Stock részt vettek a Waledac felszámolásában. A két informatikusra hárult a botnet működésének kielemzése.


Holz úgy vélte, hogy mivel a megfertőzött PC-k és laptopok már nem kapnak friss információkat a fő szerverről, így a védelmi programoknak elvileg könnyen meg kellene tisztítaniuk a kártevőktől az érintett számítógépeket. Feltéve persze, hogy ezek a szoftverek még működnek, hiszen a legtöbb kártevő rendelkezik a vírusirtókat kiiktató funkcióval. A b49 hadműveletnek nevezett akció furcsaságai itt azonban még nem értek véget. A dinamikus IP-címek miatt csak nehezen lehet megállapítani, hogy melyik számítógép fertőzött és melyik nem. A legnagyobb problémát a jogi akadályok jelentik.

"Szerverünk állandó kapcsolatban van a fertőzött PC-kkel. A Waledac frissítési mechanizmusát felhasználva mindegyik konfigurációra eljuttathatnánk egy olyan alkalmazást, ami elpusztítaná a kártevőket, de ez a megoldás sok országban komoly jogsértésnek minősülne, ráadásul nem lenne túl etikus dolog. Vagyis kizárólag az internetszolgáltatókkal való együttműködésben bízhatunk" - közölte Stock.

Időközben egyre többen vonják kétségbe az akció sikerét. A Microsoft korábban azt állította, hogy a botnet volt felelős naponta 1,5 milliárd spam e-mail elküldéséért. Nos, a Waledacot kikapcsolták, de a kéretlen elektronikus reklámlevél-forgalom azóta sem csökkent. "A Waledac a lekapcsolásakor már rég nem volt egy masszív spamküldő gépezet. A 1,5 milliárdos értéket hónapokkal ezelőtt regisztráltuk" - hangsúlyozta Thorsten Holz.

S hogy akkor miért is volt hasznos az akció? Nos, utólag derült ki, hogy a botnetet üzemeltetők szerették volna megszerezni számos ftp- és webszerver hozzáférési kódjait és jelszavait és ezeket használták volna fel spamküldésre. Emellett szintén a hálózat segítségével terjesztettek el számos hamis vírusirtót. Paul Ferguson, a Trend Micro elemzője ugyanakkor úgy nyilatkozott, hogy a Microsoft alighanem egy vagy két szervert "elnézett", vagyis valójában nem sikerült teljesen lekapcsolni a Waledacot.