Derrubada da botnet Waledac diminuiu spams, dizem experts

Após as ações da Microsoft para derrubar a botnet Waledac mês passado, havia alguma dúvida se a operação foi muito mais do que uma manchete que teria pouco efeito sobre os níveis de spam e/ou infecções por malware. Depois de três semanas depois da queda, pesquisadores dizem que a Waledac essencialmente encerrou as comunicações e as suas operações de spam caíram para perto de zero.

Um pesquisador disse que a Waledac parece agora abandonada. "Parece aleijada, se não está morta", disse José Nazario, pesquisador de segurança sênior da Arbor Networks.

Uma análise dos efeitos da derruba da Waledac, conhecida internamente na Microsoft como Operação B49, mostrou que os esforços da companhia e de outros pesquisadores em universidades da Europa tornaram a Waledac quase inefetiva.

... dados iniciais da Microsoft e de outros pesquisadores indicam que nossas ações têm efetivamente dizimado as comunicações dentro da botnet Waledac. Por exemplo, pesquisadores da Fundação Shadowserver, da Universidade Técnica de Viena, da Universidade de Mannheim, da Universidade de Bonn e da Universidade de Washington analisaram dados da Waledac e observaram uma cessação efetiva de comandos vindos dos micros "zumbis". Essa é uma boa notícia, pois indica que a Operação B49 efetivamente cortou entre 70 000 e 90 000 computadores desta botnet, o que significa que os internautas estão menos propensos a ver pop-ups de software de segurança desonestos, downloads de malware, spam e roubo de senha associada à infecção da Waledac.

A Waledac não era nem de perto a maior botnet em operação, nem mesmo uma dos principais produtoras de spam. Ela tinha menos de 100 000 PCs infectados. No entanto, o que sobressai neste esforço especial, ao contrário de outras operações similares contra a Mariposa e outras botnets, são as táticas que os investigadores usaram e eficácia dos métodos.

A Microsoft trabalhou com um grupo de pesquisadores da Universidade de Mannheim e da Universidade de Viena para identificar o comando da chave e os servidores de controle, analisar os protocolos de comunicação peer-to-peer e elaborar um plano para derrubar a Waledac. O plano, que envolveu o trabalho com órgãos policiais e provedores para derrubar cerca de 300 domínios .com envolvidos na botnet e interromper as comunicações entre os zumbis, parece ter funcionado como previsto.

Outro indicador-chave da morte da botnet é a falta de PCs contaminados recentemente.

"Pesquisadores da Sudosecure que rasteriam novas infecções da Waledac tem dados que mostram um declínio dramático em novos endereços IP que aparecem dentro da rede Waledac, significando que ela parou de espalhar a infecção a outros computadores. Embora provavelmente haverá algumas flutuações, pois o malware subjacente existe, temos e continuaremos a trabalhar com a comunidade de segurança para permanecer em cima da Waledac ao longo do tempo. O número "zero de novas infecções" relatado pela Sudosecure a partir de 27 de fevereiro é um grande indicador do sucesso desses esforços até agora", escreveu Jeff Williams, da Microsoft.