Waledac , una delle botnet spara-spam più perniciose attualmente in circolazione con stretti legami di parentela con l’altra grande piaga informatica del passato recente nota come Conficker , è stata effettivamente decapitata grazie a un’operazione combinata di contrasto legale e investigazione informatica. Lo annuncia Microsoft fornendo scarni dettagli sull’iniziativa e promettendo di ripulire anche i pezzi restanti dell’esemplare monstre dei network malevoli in mano al cyber-crimine.
L’operazione, condotta in gran segreto per evitare che i criminali approntassero le dovute contromisure, ha avuto al suo centro una causa legale intentata contro gli ignoti gestori di Waledac. I legali Microsoft hanno fatto sì che un’eventuale decisione favorevole da parte della corte avesse un effetto diretto e immediato sui centri di comando&controllo della botnet, chiedendo al giudice di mettere off-line 277 domini .com riconducibili a Verisign e usati per gestire il network, inviare ordini e aggiornare i PC zombi con le versioni aggiornate dei malware-bot.
Quell’ordine è alla fine arrivato, e ora Microsoft può trionfalmente annunciare di aver tagliato la testa alla rete di zombi telematici capace di spedire in giro per il mondo la bellezza di 1,5 miliardi di mail spazzatura al giorno. Senza i server di C&C Waledac è un corpaccione morto di sistemi infetti da codice malevolo ad alta pericolosità, che continua a muoversi e ad agire come prevedono gli ultimi ordini ricevuti ma non può più essere controllato da chi l’ha messo in piedi .
Molti dei domini TLD presi di mira risultano effettivamente offline, e tutto quello che rimane da fare dopo il colpo grosso dell’ Operazione b49 (nome in codice usato internamente) è ripulire i restanti meccanismi di comunicazione implementati nella botnet basati su protocolli di comunicazione peer-to-peer. “Stanotte è una notte impegnativa e anche domani sarà probabilmente un giorno impegnativo”, aveva previsto il responsabile del Malware Protection Center di Microsoft in occasione dell’affondo contro Waledac.
Redmond aveva in realtà già provato a sbattere la mannaia delle disconnessioni sulla botnet durante lo scorso aprile, quando l’azienda aveva aggiunto le firme virali dei trojan-bot di Waledac al suo Malicious Software Removal Tool . Allora la misura non era stata sufficiente a far fuori il network malevolo, e ora le security company sono in attesa di verificare gli effetti concreti dell’Operazione b49 sull’operatività di una delle più grandi minacce reali alla sicurezza informatica attualmente in circolazione.
Alfonso Maruccia