Discussion:
ышшо одна троянодавалка
(слишком старое сообщение для ответа)
Yuriy Talakan'
2008-01-18 13:43:08 UTC
Permalink
Hello everybody.

hxxp://24.74.52.237/
Your download should begin shortly. If your download does not start
in 10-20 seconds, you can click here to launch the download
and then press Run. Enjoy!

И дальше дают это:
hxxp://24.74.52.237/withlove.exe (Trojan.MulDrop.10051)

Yuriy
Alexey Podtoptalow
2008-01-18 15:48:49 UTC
Permalink
Fri Jan 18 2008 16:43, Yuriy Talakan' wrote to All:

YT> hxxp://24.74.52.237/
YT> Your download should begin shortly. If your download does not start
YT> in 10-20 seconds, you can click here to launch the download
YT> and then press Run. Enjoy!

YT> И дальше дают это:
YT> hxxp://24.74.52.237/withlove.exe (Trojan.MulDrop.10051)
Угу, Storm worm.
Эти раздающие узлы (distribution nodes) живут обычно не очень долго. Это
зараженные компьютеры. Среди них много домашних, имеющих хорошее подключение к
интернету.
Я пробовал собрать информацию о размещении таких узлов. Получилось так
(примерно по 87 тысячам компьютеров):
8782 USA - Texas
8071 Korea, Republic Of
6657 Russian Federation
4558 India
4398 Romania
4007 Germany
3698 Poland
3419 USA - New Jersey
2907 Japan
2809 USA - Virginia
2544 United Kingdom
2104 Morocco
1982 Taiwan
1840 France
1807 Italy
1760 China
1673 Argentina
1604 Turkey
1555 Thailand
1451 Spain
1187 USA - California
1144 Hungary
1038 Israel
866 USA - Missouri
824 Canada
812 Malaysia
757 USA - Colorado
715 Belgium
698 Sweden
613 Chile
613 Hong Kong
536 Philippines
479 Bulgaria
462 Slovenia
439 Croatia
432 Ukraine
396 Netherlands
390 Portugal
390 USA - Illinois
365 Colombia
334 Singapore
309 Switzerland
244 Slovakia
232 USA - Georgia
229 Macedonia, The Former Yugoslav Republic Of
227 Czech Republic
221 Pakistan
218 Australia
210 USA - New York
203 Algeria
203 USA - Kentucky
200 Austria
194 Denmark
178 Estonia
175 Lithuania
171 Latvia
136 Moldova, Republic Of
126 Kazakhstan
121 USA - Ohio
118 Jordan
118 USA - South Carolina
115 South Africa
105 Finland
Alexey Haritonov
2008-01-18 16:35:13 UTC
Permalink
Привет Alexey!

18 Января 2008г. 18:48, Alexey Podtoptalow -> Yuriy Talakan':

AP> Угу, Storm worm.
AP> Эти раздающие узлы (distribution nodes) живут обычно не очень долго.
AP> Это зараженные компьютеры. Среди них много домашних, имеющих хорошее
AP> подключение к интернету. Я пробовал собрать информацию о размещении
AP> таких узлов. Получилось так (примерно по 87 тысячам компьютеров): 8782

нехило так...

/*─═>/* -=-=-=-=-=(Windows Clipboard)=-=-=-=-=- /*<═─/*
= RU.COMPUTERRA (2:5015/222) ==================================================
Msg : 231 of 268 Scn
From : News Robot 2:5030/1256 18.01.2008 09:00:08
To : All
Subj : Год Storm: почему самый сложный ботнет остаётся непобедим
===============================================================================
Компьютерра
__________________________________________________________________

Год Storm: почему самый сложный ботнет остаётся непобедим

Автор текста: Юрий Ильин

17 января 2008 года, 19:14


Червь storm [1], который небезосновательно считают главной вирусной
проблемой веба, впервые всплыл ровно год назад, 17 января 2007 года. Уже
через неделю появились сообщения [2], что STORM заразил более полутора
миллионов компьютеров по всему миру, используя уязвимости, присутствующие
практически в каждой версии Windows.

Имя STORM, под которым червь известен на Западе, ему дала финская
антивирусная компания f-secure, поскольку изначально бестия рассылала себя
во вложениях к электронным письмам с заголовком "230 dead as storm batters
EUROPE" ("230 погибших в результате бурь в странах Европы"). У SYMANTEC
червь значится как trojan.peacomm, у sophos - troj/dorf и mal/dorf, у
BitDefender - Trojan.Peed. А в "Лаборатории Касперского" и в F-Secure его
называют W32/ZHELATIN, что явно указывает на возможное происхождение этой
заразы. В Сети также муссируются слухи о связи storm с пресловутой
полумифической криминальной сетью Russian Business Network.

По инерции STORM называют "червём", хотя на самом деле эта зараза
комплексного характера, и помимо метода распространения, характерного для
почтовых червей, STORM Worm имеет функции трояна/бэкдора, а также может
выполнять роль "DDOS-бота" - программы, используемой для проведения
ddos-атак.

Hо главной проблемой является даже не сам червь, а созданная им сеть
заражённых компьютеров. Её точные размеры точно не известны, но по некоторым
оценкам, количество компьютеров-"зомби" уже перевалило за несколько десятков
миллионов. Таким образом, совокупная вычислительная мощь ботнета, созданного
STORM, может в разы превосходить самые мощные суперкомпьютеры планеты [3].

Известный специалист в области компьютерной безопасности Брюс Шнайер в
октябре утверждал [4], что размеры ботнета по-прежнему колеблются между 1 и
50 миллионами. По мнению Шнайера, STORM - это будущее вредоносных программ
как таковых. Ботнет storm ведёт себя как колония муравьёв с чётким
распределением ролей между машинами.

Узлы сети делятся на распространителей, "командные центры" и "рабочие"
компьютеры, которые в обычном режиме просто выполняют приказы, но при
надобности могут брать на себя функции деактивированных "командных центров"
или распространителей. Вдобавок, по словам Шнайера, код вируса постоянно
меняется, что затрудняет его обнаружение.

Меняются и способы распространения: всё начиналось с PDF-спама и рассылок по
почте (причём колоссальных, - по оценкам различных специалистов ботнет может
рассылать до нескольких миллиардов [5] заражённых сообщений ежедневно),
теперь в дело пошли спам в блогах и на форумах, а также мнимые рассылки с
YOUTUBE. Вдобавок создатели STORM активно и успешно используют социальную
инженерию.

Hаконец, как показала практика, авторы этой заразы пристально следят за
попытками противодействовать и им самим, и прочим киберпреступникам, - так
что ботнет, ассоциируемый со storm, время от времени наносит удары [6] по
антиспамерским и антивирусным ресурсам и даже по личным страницам
специалистов по безопасности. Hалицо попытки запугать противников - очень в
духе уличных бандитов, а также террористов и наименее солидных спецслужб.

В октябре, спустя десять дней после выхода вышеупомянутой статьи Шнайера,
появились сведения, что владельцы STORM либо собрались распродавать по
частям свою сеть, либо выращивают [7] на продажу несколько новых, поменьше.
Понятное дело, такое супероружие пойдёт на ура, причём не только у хакерских
сообществ, но и у некоторых государств. Вспоминаются обвинения со стороны
США и Великобритании в адрес китайских спецслужб, которые якобы пытались
взламывать серверы государственных органов этих стран, а также история
DDOS-атаки на Эстонию.

В декабре сеть storm продолжала разрастаться, а в январе произошёл [1]
очередной всплеск активности червя. Единственный способ разделаться с
огромным ботнетом - это найти и нейтрализовать создателей и операторов
storm. Техническими средствами его побороть невозможно, как невозможно
отучить пользователей открывать заражённые ссылки в "информационных" письмах
с заголовками типа "Кондолиза Райс дала пинка Ангеле Меркель".

*Читайте также:* Червь storm поздравляет с днем Святого Валентина [1].

[1]: http://security.compulenta.ru/345286/
[2]:
http://www.informationweek.com/news/showArticle.jhtml?articleID=196903023
[3]:
http://www.informationweek.com/news/showArticle.jhtml?articleID=201804528
[4]: http://www.schneier.com/blog/archives/2007/10/the_storm_worm.html
[5]: http://www.neoseeker.com/news/story/7103/
[6]: http://security.compulenta.ru/333160/
[7]:
http://tech.blorge.com/Structure:%20/2007/10/15/researcher-storm-worm-botnet-up
- for-sale/

__________________________________________________________________


Оригинал статьи на http://security.compulenta.ru/345282/

-+-
+ Origin: by_Rain 19/11-2007g. (2:5030/1256)

/*─═>/* -=-=-=-=-=(Windows Clipboard)=-=-=-=-=- /*<═─/*

Alexey.
Я топчу землю уже 306763 часа. [Goblin(крендель)cvalka.net]
... np: Modern Talking - You're My Heart, You're My Soul

Loading...