Si chiama Nugache ed è classificato anche come un BOT software, tenta di infettare i sistemi attraverso la rete di instant messaging di America Online, tramite E-mail e sfruttando anche calcolatori vulnerabili. Una volta che compromette un calcolatore, il programma usa una lista di 22 indirizzi differenti Internet per stabilire connessioni ai calcolatori di altre vittime in una rete p2p. Faràil suo trionfale ingresso questo fine settimana.
“‘il bot, per mancanza di termine migliore, non usa il DNS (il Domain Name System) per scovare (comandi e control network); inoltre non usa alcuna stringa umanamente leggibile nella relativa comunicazione, “Lo ha scritto nella sua analisi Eckman, un analista di sicurezza all’universitàdel Minnesota. “di conseguenza, molte misure di identificazione non vi aiuteranno a rilevare gli host infettati sulla vostra rete.”

Queste tecniche rappresentano gli ultimi miglioramenti per i bots — gli attrezzi scelti da molti criminali online che mirano a trasformare i computer compromessi in contanti. Tipicamente, i programmi permettono che un padrone del BOT controlli una grande rete di sistemi infettati o una bot net trasmettendo gli ordini attraverso un sistema di Internet Relay Chat (IRC), i precursori delle reti principali di IM. Questa ultima variante nel software del BOT indica che, minacciato dalla capacitàdei ricercatori di colpire nei command-and-control networks, i padroni dei BOT stanno osservando le comunicazioni del p2p, la crittografia ed altre tecnologie per nascondere le loro tracce.

Joe Stewart, il maggior ricercatore in ambito di sicurezza della ditta LurhqLe afferma che le bot net che prendono i loro ordini attraverso canali come il p2p renderanno i lavori di protezione molto più difficili. Stewart prosegue dicendoci “Se realizzata correttan correttamente, si va vicino all’impossible interrompere la bot net nell’insieme,inoltre fornisce l’anonimato a chi la controlla, perché possono comparire come un qualsiasi altro nodo nella rete.”
Vincent Weafer, senior director dei software di sicurezza di Symantec dice “ “IRC realmente sta sparendo, ma c0è un gran movimento verso canali alternativi, soprattutto un orientamento in massa verso i le comunicazioni cifrate per impedire alla gente di ascoltare di nascosto.”

Mikko Hyppönen, principale ricercatore per la ditta di antivirus F-Sicure paventa la sue preoccupazioni dello sviluppo del codici di questo ultimo bot, e crede che la sua diffisione saràmaggiore se il codice sorgente venisse pubblicamente rilasciato permettendo così ad altri di poterlo ulteriormente sviluppare.
Un difetto in Nugache ha potuto far in modo di interromperlo facilmente, secondo Stewart del Lurhq. La lista iniziale dei sever iniziali sembra essere stata duramente codificata all’interno del worm, se si riesce a ostruire quei 22 indirizzi Internet iniziali si può bloccare la crescita del bot sul nascere.

Questo si che è davvero “interessante”, un bot che sfrutta le reti p2p come canale di comunicazione è veramente difficile da bloccare, chissàcome se la caveranno i produttori di antivirus stavolta.

via arabianfenix.com