Computerworld News Service: Microsoft erkender, at virksomheden endnu ikke helt har afskåret al kommunikation mellem Waledac-botnettets command-and-control-servere og de tusindvis af kompromitterede Windows-pc'er, der er blevet brugt af hackere til at sælge falsk sikkerhedssoftware og sende en mindre mængde spam.
Men ikke destomindre, vil de forsøge at bekæmpe adskillige andre botnet med den samme juridiske taktik, som blev brugt mod Waledac.
"Dette beviser, at det kan lade sig gøre," siger Richard Boscovich, der er juridisk chefrådgiver hos Microsofts Digital Crimes Unit.
"Hvert botnet er selvfølgelig forskelligt, men dette giver os et nyt våben. Og det bliver ikke vores sidste tiltag… Vi har andre aktiviteter på tegnebrættet."
For nylig offentliggjorde Microsoft at have fået rettens ord for, at næsten 300 websites skulle lukkes ned. Disse sites udgjorde en nøgleforbindelse mellem hackere og de pc'er, der udgjorde Waledac-botnettet.
Den juridiske taktik, som er blevet hyldet af mange sikkerhedseksperter som et præcedens-skabende tiltag, resulterede i, hvad Microsoft kalder en "større sejr" over Waledac, hvilket dog anfægtes af visse eksperter.
Den samme metode kan og vil ifølge Boscovich blive brugt i forhold til andre botnet. Han afviser dog at sige præcist hvilken hær af zombie-pc'er, der nu står for skud.
"Det er selvfølgelig muligt at skalere denne tilgang," svarer han til spørgsmålet, om den juridiske kamp mod Waledac ville kunne fungere mod andre botnet, eller om det var en engangsforestilling.
"Dette er et nyt værktøj, vi nu kan benytte, endnu en mekanisme der er tilgængelig."
Da Microsoft i starten af januar gik i gang med at beslutte hvilket botnet, virksomheden skulle gå efter, startede den med en liste på seks, der blev indsnævret til tre, hvoraf valget faldt på Waledac. De sidste fem unavngivne botnet er dog stadig på Microsofts liste.
"Vi havde et mål om at give os selv en teknisk udfordring," svarer Boscovich til spørgsmålet om, hvorfor valget faldt på Waledac.
"Det havde en vis anseelse fra et teknisk synspunkt."
Og Waledac har rigtigt nok et vist ry. Malwaren, der inficerer ofrenes computere, er skabt af - ligesom botnettet vedligeholdes af - de samme hackere, der oversvømmede internettet med botnettet Storm fra først i 2007 til midt i 2008. Skaberne af Waledac "er helt sikkert kompetente," bemærker Joe Stewart, der er direktør for malwareanalyse hos SecureWorks og er en anerkendt botnet-ekspert.
Mere end 60.000 zombie-pc'er
Richard Boscovich erkender, at Waledac ikke er verdens største botnet, men påpeger, at der var adskillige ting, der talte for, at dette botnet skulle være det første til at mærke brodden af Microsofts nye juridiske tilgang i kampen mod botnettene.
Blandt disse ting kan fremhæves, at de identificerede command-and-control-domæner alle var registrerede hos VeriSign, hvilket gjorde det lettere at koordinere nedlukningen af websitene. Og Microsoft havde været i kontakt med adskillige uafhængige sikkerhedseksperter, der havde gravet sig dybt ind i malwarens kode og forstod botnettets adfærd.
Mens Microsoft lover at svinge det juridiske sværd igen, erkender virksomheden dog, at forbindelserne mellem de inficerede pc'er og de hackere, der kontrollerer dem, ikke er helt skåret over.
"De blev hårdt ramt, og vi forventer, at det vil blive endnu hårdere for dem i løbet af de næste adskillige dage," siger T. J. Campana, der arbejder under Boscovich som senior program manager i Microsofts Digital Crimes Unit.
Til spørgsmålet om forbindelserne mellem Waledac-hackerne og botnettets pc'er nu er fuldstændigt afbrudt, svarer Campana: "I det store og hele må svaret være nej."
I sidste uge hævdede Microsoft at have vundet kontrollen over mere end 60.000 zombie-pc'er i Waledac-botnettet, efter en domstol besluttede at lukke for de 277 domæner.
Adskillige sikkerhedseksperter satte dog spørgsmålstegn ved, om denne taktik ville have en tilstrækkelig effekt på Waledac, da hackerne benytter flere forskellige mekanismer til at sende kommandoer til de inficerede maskiner.
I nødstilfælde kan Waledac-zombier kommunikere med deres kontrol-servere "i det uendelige" ved hjælp af IP-adresser, der er indkodede i den trojaner, som botnettet udnytter, forklarede Stewart fra SecureWorks i sidste uge.
Oversat af Thomas Bøndergaard
