前回の記事では、WaldacボットネットのP2Pネットワークを遮断する対策を説明した。だが、P2Pネットワークを遮断しても、WaledacにはDNSを使ったフォールバックシステムがある。このため、DNSへの対処も並行して実行しないと根絶することはできない。
DNSを使ったWaledacのフォールバック
P2Pネットワークに共通する問題として、接続するノードが見つからない場合に、そのノードがネットワークから孤立してしまう事態が発生することがある。Waledacでは、アクティブ・ノードリスト中に有効なノードが見つからない場合は、あらかじめ組み込まれたアドレス(ホスト名)を参照することで、この問題を回避する(図10))。
つまり、スパマー・ノードで保持しているアクティブ・ノードリストすべてと接続ができない場合、スパマー・ノードはあらかじめ登録されたホスト名(bestchristmascard.comやholidayxmas.comなどの277のドメイン)のIPアドレスを、Fast Flux DNSサーバーから参照する。
この結果として得られるIPアドレスは、一定期間オンラインであることが確認されているリピーター・ノードで、スパマー・ノードはこのIPアドレスをリピーター・ノードとして接続する。一度の参照で接続できない場合でも、Fast Flux DNSは応答するリピーター・ノードのアドレスを頻繁に更新するため、繰り返して問い合わせを実行することで、いずれは接続が可能なリピーター・ノードを見つけられる。
中間コントローラーとメインC&Cサーバーは、感染したPCではなく、ハーダーにより設置されたサーバーで構成されている。これらのサーバーは固定的であることから、リピーター・ノードを経由したアクセスのみを受け付けるなど、意図しないアクセスを極力排除する仕組みになっている(図11) 。