Specjaliści z grupy ShadowServer odkryli namiastkę nowej sieci botnet. Umownie nazwali go Storm Worm 3.0/Waledac 2.0 gdyż na pierwszy rzut oka wygląda jak jego poprzednie wersje, jednak po bliższym przyjrzeniu się okazało się, że złośliwe oprogramowanie jest mocno zmodyfikowane i wygląda na nową generację sieci botnet. Po szybkiej analizie stwierdzono dotychczas, iż:
- aktualnie botnet jest wykorzystywany do potężnej kampanii wysyłającej SPAM z odnośnikami
- botnet korzysta z nowych domen, które wykorzystują mechanizm Fast Flux czyli domeny bardzo szybko zmieniają odniesienia do wielu różnych adresów IP (TTL na poziomie 0!)
- odnośniki w spamie kierują do witryn , które zostały podmienione poprzez umieszczenie dodatkowego kodu HTML
- odnośniki kierują także bezpośrednio do nowych wykorzystywanych domen
- końcowe strony udają zarówno fałszywą aktualizację Flash Playera oraz atakują odwiedzającego serią exploitów wykorzystujących błędy w oprogramowaniu
- komunikacja do kilku zarządzających serwerów występuje z użyciem protokołu HTTP (nazwany za czasów Waledaca HTTP2p)
- bardziej złożone złośliwe oprogramowanie wyglądające na mniej groźne
- awaryjna sieć komunikacji, często nie dostępna
- dynamiczne aktualizacje złośliwego oprogramowania
- przekierowania wykorzystują kod: <meta http-equiv=’refresh’ content=’0;url=hxxp://domena com’ />
Dzięki ustawieniom TTL o wartości 0 odpowiedzi dotyczące domen nie powinny być przechowywane przez serwery w pamięci podręcznej co skutkuje dużą różnorodnością uzyskiwanych adresów IP (przykład dla domeny leolati com):
wto sty 4 13:56:29 CET 2011: 95.155.66.4
wto sty 4 13:56:29 CET 2011: 62.238.200.19
wto sty 4 13:56:30 CET 2011: 151.61.255.36
wto sty 4 13:56:31 CET 2011: 82.45.120.150
wto sty 4 13:56:31 CET 2011: 174.98.208.178
wto sty 4 13:56:32 CET 2011: 112.210.147.218
wto sty 4 13:56:32 CET 2011: 124.125.35.146
wto sty 4 13:56:33 CET 2011: 46.98.69.168
wto sty 4 13:56:33 CET 2011: 96.10.183.50
Domeny wykorzystywane przez botnet to między innymi:
bethira. com
bitagede. com
cifici. com
darlev. com
elberer. com
envoyee. com
leolati. com
makonicu. com
nurealla. com
scypap. com
suedev. com
teddamp. com