Перейти к содержимому


* * * * * 1 Голосов

Массовая рассылка нового червя с мощным руткитом


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 45

#21 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 14 Октябрь 2007 - 18:04

Пошла очередная волна. Письмо:

Цитата

You have been sent the funniest Kitty Kard. http://68.32.41.***/

Страничка, куда попадаем, предлагает скачать червя под видом открытки множеством способов. На фоне даже играет простенькая мелодия, нацеленная на то, чтобы вызвать дополнительное доверие у пользователя.

Цитата

The Laughing Psycho Kitty Cat
CLICK HERE
To Get Your personal Kitty Card From Psyco Cat

По ссылкам загружается все тот же Zhelatin.ki по Касперскому. Надо сказать, что уже недели 1.5 как версия червя на серверах не обновляется...

#22 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 14 Октябрь 2007 - 21:03

А не кажется ли тебе странным, что эти письма приходят на твой ящик?
Может чего в системе?

#23 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 14 Октябрь 2007 - 21:21

Не кажется.

#24 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 26 Октябрь 2007 - 12:15

Гм, нашел тут любопытный материал...
http://www.viruslist...pubid=204007573

Цитата

Как уже говорилось выше, есть два основных способа попадания вредоносных программ на компьютер жертвы через интернет-сайты: с помощью социальной инженерии или через эксплойты браузера. Неудивительно, что в большинстве случаев авторы вредоносных программ используют комбинацию этих двух способов для увеличения шансов на успех.

Хорошим примером такой комбинации является Zhelatin, о котором уже упоминалось ранее. Скрипт, распространяющий червя, судя по всему, написан на PHP, и прежде чем отправить зараженную страницу пользователю, он выполняет еще несколько действий. Самое главное – он проверяет строку идентификации браузера «User-Agent». Если строка не слишком распространенная, как, например, Safari в MacOS или Lynx в Linux, он попытается отправить страницу, где будет использоваться технология социальной инженерии. Получив строку идентификации, характерную для Internet Explorer, например, “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”, скрипт пришлет страницу с эксплойтами именно для Internet Explorer. То же относится к Firefox.

То-то мне никогда сплойты не выдавались...а всегда дешевый и не очень развод. Причем я могу добавить, что zhelatin еще и некотороые троянские downloader'ы загружают вместе с остальным своим запрограммированным набором.

и еще:

Цитата

Еще с одним интересным случаем мы столкнулись в этом году, когда начали тщательно анализировать сайт, распространяющий модификации Zhelatin. Эти модификации менялись на сервере приблизительно каждые 90 секунд, и через 500 модификаций происходила интересная вещь. Используемая шифровальная утилита использовала случайное значение, размер которого составлял порядка 9 бит. Когда сгенерированное значение попадало на некоторое число, соответствующая модификация Zhelatin оказывалась незашифрованной. Это позволило нам получить несколько модификаций семейства Zhelatin 0-поколения, которые оказались полезными для анализа.

Цитата

А пока пользователям следует поддерживать свои операционные системы на современном уровне, переходить от Internet Explorer 6 к другим браузерам, таким как Firefox, IE7 и Opera, которые лучше защищены. И, наконец, очень важно использовать антивирусные продукты, способные контролировать веб-трафик, поскольку большая часть вредоносных программ распространяется сейчас через веб-сайты.

+1

Сообщение отредактировал XL: 26 Октябрь 2007 - 12:26


#25 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 30 Октябрь 2007 - 21:19

По случаю хэллоуна обновился текст и сам червь.
Письмо:

Цитата

Тема: Send this to your friends (прим XL. Отправь это своим друзьям)
Текст: Someone sent this to me, it is so hilarious. http://201.228.32.1**/

Страница, конечно, убога:

Цитата

The Dancing Skeleton

Do You Want To See New Funny Sexual Helloween Game with Dancing Skeleton? Just Click Here
Via Email, MSN, or IRC
Это выдается под оперой. По ссылке на странице загружается  Email-Worm.Win32.Zhelatin.lj URL: http://201.228.32.1**/halloween.exe

Под IE выдается более интересная штука с возможностью поиздеваться над скелетом. Правда, почему-то без java_script троянов. Хотя, это может быть из-за висты, которая установлена на тестирумой машине и пользователям XP повезет куда меньше...

#26 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 30 Октябрь 2007 - 22:16

Это пришло в ICQ???
Можно ссылку в приват.

#27 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 30 Октябрь 2007 - 23:15

Нет, это все по почте прет...

#28 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 30 Октябрь 2007 - 23:22

Ссылки похоже сбили - у меня на linux'e ни в одном браузере не открыло вообще ничего.

#29 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 30 Октябрь 2007 - 23:26

Зомби сеть Storm построена интересным образом. В письмах приходят ссылки на т.н. distribution.nodes  - дистрибьюторы малвары. Размещены они на зараженных бот машинах, которые висят на adsl, ethernet и пр. каналах. Отсюда и такая нестабильность.... Выключил юзверь машину, и нет дистрибьютора...

#30 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 06 Декабрь 2007 - 15:06

Уже который раз приходит письмо...

Hi, what's up? Will you show up online today? Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok?

Вложение images.hta
С кодом
qNFolNWhjRW7="bqRb1VxOtK5wrgm" UgFZ4bdaO8_p1="z4DJkr_GvzqLA" m5_NS361MUS="zpI5zJPmPHB" zqNYuBbYQgl="uDE3b" zUW8kXK_a_="AFuvyFOwrWM7"
;)

#31 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 24 Декабрь 2007 - 19:20

После долгого перерыва ботнет штомового червя снова заявляет о себе предновогодней рассылкой. На этот раз пытаются играть на мужских чувствах. Приходит вот такое письмо:

Цитата

Yo,

This Christmas, we want to show you something you will really enjoy. Forget all the stress for two min and feast your eyes on these.
http://merrychristmas***.com/

Наступив на ссылочку, попадаем сюда:

Прикрепленный файл  devki.jpg   125,7К   21 Количество загрузок:

Ну а тут при нажатии на download нам предлагают загрузить:

Прикрепленный файл  vir.jpg   50,34К   52 Количество загрузок:

#32 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 26 Декабрь 2007 - 19:17

Цитата

Неизвестные хакеры запустили во Всемирную сеть новую версию опасного вируса Storm Worm. Эта вредоносная программа, проявившаяся в начале 2007 г., была причиной головной боли пользователей и провайдеров по всему миру. Антивирусные программы быстро справились с назойливым "червем", однако сейчас авторы вируса начали вторую атаку, приуроченную к Рождеству.
Инфицированные Storm Worm системы рассылают спам со ссылкой на сайт MerryChristmasdude.com. После перехода по ссылке можно увидеть изображения праздничной тематики и предложение скачать (поддельный) видеокодек. Загрузка и установка подобного софта позволяет червю оперативно соединить зараженный ПК с P2P-сайтами и включить в Сеть компьютеров, рассылающих спам. Таким образом заражаются все новые и новые ПК.
        Некоторые антивирусные сканеры защищают от нападений этого червя, обновления для остальных авторы обещают выпустить в самое ближайшее время. Пока же пользователям рекомендуется относится осторожно к сообщениям, пересылаемым по электронной почте. Письма, зараженные вирусом, содержат следующие фразы:
I love this Carol!
Merry Christmas To All;
Christmas Email
Warm Up this Christmas;
Jingle Bells, Jingle Bells;
The Perfect Christmas;
Santa Said, HO HO HO;
Cold Winter Nights.

©перто с http://www.utro.ru/n...26/704977.shtml

#33 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 26 Декабрь 2007 - 21:38

Сколько же неточностей содержат такие новости....

#34 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 26 Декабрь 2007 - 21:56

Обновление! Письмо:

Цитата

Happy New Year To You!
http://uhave*******.com/

Страница, куда попадаем после нажатия на ссылку в теме письма, примитивна и содержит текст на белом фоне:

Цитата

Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!

При нажатии на ссылку, рапсоложенную на странице, происходит загрузка happy-2008.exe
Этот кусочек новогоднего счастья на данный момент не детектируется антивирусом Касперского с последними антивирусными базами.

#35 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 15 Январь 2008 - 21:37

Такс, очередная волна пошла.

Письмо:

Цитата

Kisses Through E-mail http://75.117.2.***/

(поцелуи посланы Вам через мыло по адресу .....)

сама страница, откуда загружается червь имеет вид:

Прикрепленный файл  wl.jpg   20,12К   13 Количество загрузок:

Детект загрузчика на данный момент популярными антивирусами (все очень плохо):

Цитата

Файл withlove.exe получен 2008.01.15 19:23:40 (CET)

AhnLab-V3 2008.1.16.10 2008.01.15 -
AntiVir 7.6.0.48 2008.01.15 -
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.14 -
AVG 7.5.0.516 2008.01.14 -
BitDefender 7.2 2008.01.15 -
CAT-QuickHeal 9.00 2008.01.15 -
ClamAV 0.91.2 2008.01.14 -
DrWeb 4.44.0.09170 2008.01.15 Trojan.MulDrop.6848
eSafe 7.0.15.0 2008.01.14 -
eTrust-Vet 31.3.5459 2008.01.15 -
Ewido 4.0 2008.01.15 -
FileAdvisor 1 2008.01.15 -
Fortinet 3.14.0.0 2008.01.15 -
F-Prot 4.4.2.54 2008.01.14 -
F-Secure 6.70.13030.0 2008.01.15 -
Ikarus T3.1.1.20 2008.01.15 -
Kaspersky 7.0.0.125 2008.01.15 -
McAfee 5208 2008.01.15 -
Microsoft 1.3109 2008.01.15 -
NOD32v2 2793 2008.01.15 Win32/Nuwar.BH
Norman 5.80.02 2008.01.15 -
Panda 9.0.0.4 2008.01.14 -
Prevx1 V2 2008.01.15 -
Rising 20.27.12.00 2008.01.15 -
Sophos 4.24.0 2008.01.15 -
Sunbelt 2.2.907.0 2008.01.15 -
Symantec 10 2008.01.15 -
TheHacker 6.2.9.187 2008.01.13 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.15 -
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)

Дополнительная информация
File size: 114688 bytes
MD5: 7f2c3608f1e282d858b360c7c47f8943


#36 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 03 Март 2008 - 19:39

Вот и дожили до очередной волны.
Пришло такое письмо:

Цитата

Here is your laughing Funny Card http://24.193.15.***/
А там вместо веселой открытки загружается:
Прикрепленный файл  zhel.jpg   79,13К   21 Количество загрузок:

Детект зверя различными антивирусами:

Цитата

Файл e-card.rar получен 2008.03.03 17:28:20 (CET)

AhnLab-V3 2008.2.29.1 2008.03.03 -
AntiVir 7.6.0.73 2008.03.03 Worm/Zhelatin.pc
Authentium 4.93.8 2008.03.02 -
Avast 4.7.1098.0 2008.03.02 -
AVG 7.5.0.516 2008.03.03 I-Worm/Nuwar.N
BitDefender 7.2 2008.03.03 Trojan.Peed.IWV
CAT-QuickHeal 9.50 2008.03.01 Win32.Email-Worm.Zhelatin.vg
ClamAV 0.92.1 2008.03.03 Trojan.Peed-130
DrWeb 4.44.0.09170 2008.03.03 Trojan.Packed.357
eSafe 7.0.15.0 2008.02.28 Suspicious File

eTrust-Vet 31.3.5582 2008.03.03 -
Ewido 4.0 2008.03.03 -
FileAdvisor 1 2008.03.03 -
Fortinet 3.14.0.0 2008.03.03 W32/PackTibs.M
F-Prot 4.4.2.54 2008.03.02 W32/Zhelatin.F.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.03 Email-Worm.Win32.Zhelatin.vg
Ikarus T3.1.1.20 2008.03.03 Trojan.Peed.IWV
Kaspersky 7.0.0.125 2008.03.03 Email-Worm.Win32.Zhelatin.vg
McAfee 5242 2008.02.29 W32/Nuwar@MM
Microsoft 1.3301 2008.03.03 TrojanDropper:Win32/Nuwar.gen!B
NOD32v2 2917 2008.03.03 probably a variant of Win32/Nuwar.Gen

Norman 5.80.02 2008.02.29 -
Panda 9.0.0.4 2008.03.02 -
Prevx1 V2 2008.03.03 -
Rising 20.34.02.00 2008.03.03 Worm.Mail.Win32.Zhelatin.wqu
Sophos 4.27.0 2008.03.03 W32/Dorf-AX

Sunbelt 3.0.906.0 2008.02.28 -
TheHacker 6.2.92.231 2008.03.02 -
VBA32 3.12.6.2 2008.02.27 Email-Worm.Win32.Zhelatin.vg
VirusBuster 4.3.26:9 2008.03.03 Worm.DR.Zhelatin.Gen.4
Webwasher-Gateway 6.6.2 2008.03.03 Worm.Zhelatin.pc

Дополнительная информация
File size: 112204 bytes
MD5: 2da17496133f43e5d8255becbed11520
SHA1: 75791e54fff722d17366d3ce09e51a89ada06254

Надо сказать, что ничего экстраординарного на сей раз не придумано. Все те же открытки и неплохой детект свежей сборки червя со стороны антивирусов. Но все равно - будьте на чеку!

#37 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 01 Апрель 2008 - 12:26

Авторы червя Storm поздравляют всех с днем дурака и предлагают скачать "открытку"!

Цитата

Gotcha! April Fool! http://67.187.*.*
Прикрепленный файл  storm.jpg   33,91К   1 Количество загрузок:

Цитата

AhnLab-V3 2008.4.1.1 2008.04.01 -
AntiVir 7.6.0.78 2008.04.01 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.31 -
Avast 4.7.1098.0 2008.03.31 -
AVG 7.5.0.516 2008.03.31 -
BitDefender 7.2 2008.04.01 Trojan.Crypt.AP
CAT-QuickHeal 9.50 2008.03.31 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.01 Trojan.Crypted-16

DrWeb 4.44.0.09170 2008.04.01 -
eSafe 7.0.15.0 2008.03.31 Suspicious File
eTrust-Vet 31.3.5661 2008.04.01 -
Ewido 4.0 2008.03.31 -
F-Prot 4.4.2.54 2008.03.31 -
F-Secure 6.70.13260.0 2008.04.01 -
FileAdvisor 1 2008.04.01 -
Fortinet 3.14.0.0 2008.04.01 -
Ikarus T3.1.1.20 2008.04.01 -
Kaspersky 7.0.0.125 2008.04.01 -
McAfee 5263 2008.03.31 -
Microsoft 1.3301 2008.04.01 -
NOD32v2 2990 2008.04.01 a variant of Win32/Nuwar.CG
Norman 5.80.02 2008.03.31 -
Panda 9.0.0.4 2008.03.31 -
Prevx1 V2 2008.04.01 -
Rising 20.38.10.00 2008.04.01 -
Sophos 4.28.0 2008.04.01 Troj/Dorf-BA
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.01 Trojan.Peacomm
TheHacker 6.2.92.260 2008.04.01 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.31 -
Webwasher-Gateway 6.6.2 2008.04.01 Trojan.Crypt.XPACK.Gen
Дополнительная информация
File size: 139776 bytes

С детектом открытки у антивирусов пока не очень...

#38 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 02 Апрель 2008 - 13:41

Уха-ха, заглянул на viruslist, а там в блоге опубликован самопиар с долей лжи. И вот почему:

Цитата

Наверняка многие из наших читателей уже не раз замечали, что киберзлоумышленники приурочивают свои атаки к знаменательным датам. Эта практика достаточно эффективна, в особенности если праздник является всемирно известным. Как правило, именно в такие дни наивные пользователи легко поддаются на уловки мошенников, чем и пользуются последние в целях распространения вредоносного ПО.
Из последних подобных атак можно вспомнить, к примеру, рассылку вредоносных «валентинок».
Вчера, 31 марта, накануне Всемирного дня дураков, злоумышленники-операторы бот-сетей инициировали волну спам-рассылок, письма которых содержали ссылки на веб-страницу с новой модификацией одиозного «штормового червя» Zhelatin. Антивирус Касперского детектирует данную модицкацию как Email-Worm.Win32.Zhelatin.wq; продукты других антивирусных компаний на момент появления посланий ее не детектировали.

Схема работы злоумышленников все та же:

Подготовка бот-машин — плацдармов для распространяемого зловреда.
Рассылка спамовых писем.
Автоматическая загрузка вредоносной программы при посещении жертвой специально подготовленной страницы.

Как видим, если зловред не загружался автоматически, пользователь провоцировался на скачивание вручную — путем клика по изображению или по ссылке.

Имена исполняемых файлов зловреда варьируются. Вот несколько из них: «funny.exe», «foolsday.exe», «kickme.exe». Размер файлов в среднем составляет 137 Кб и может изменяться в зависимости от модификации.

Поскольку злоумышленники имеют полный контроль над машинами, входящими в состав ботнета, а также отслеживают детектирование своих творений антивирусными продуктами, очевидно, появятся очередные модификации Zhelatin. В настоящее время мы следим за зараженными данным червем веб-сайтами.

Советуем всем пользователям удостовериться в ежечасном обновлении антивирусных продуктов и не попадаться на хитрости злоумышленников!
ссылка на сообщение: http://www.viruslist...logid=207758690
Да, да. ЛК "впереди планеты всей", что наглядно демонстрирует вчерашняя проверка funny.exe на Virustotal.com, результаты которой приведены в моем сообщении выше, датированным вчерашним днем.

#39 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 10 Апрель 2008 - 16:44

Вот и дождались очередной волны. На этот раз авторы червя Storm предлагают скачать storm codec для просмотра якобы видео. Льстят сами себе, надо ж так обозвать...  B)

Письмо вот такое:

Цитата

Together forever  http://dswr****vn.blogspot.com

На блогспоте происходит редирект на один китайский сайтик, где мы видим следующее:
Прикрепленный файл  storm.jpg   27,2К   2 Количество загрузок:

Детект storm codec различными антивирусами:

Цитата

AhnLab-V3 2008.4.10.2 2008.04.10 -
AntiVir 7.6.0.81 2008.04.10 -
Authentium 4.93.8 2008.04.10 -
Avast 4.8.1169.0 2008.04.10 -
AVG 7.5.0.516 2008.04.09 -
BitDefender 7.2 2008.04.10 Trojan.Peed.JEL
CAT-QuickHeal 9.50 2008.04.10 (Suspicious) - DNAScan

ClamAV 0.92.1 2008.04.10 -
DrWeb 4.44.0.09170 2008.04.10 -
eSafe 7.0.15.0 2008.04.09 Suspicious File
eTrust-Vet 31.3.5687 2008.04.10 -
Ewido 4.0 2008.04.10 -
F-Prot 4.4.2.54 2008.04.08 -
F-Secure 6.70.13260.0 2008.04.10 -
FileAdvisor 1 2008.04.10 -
Fortinet 3.14.0.0 2008.04.10 -
Ikarus T3.1.1.26 2008.04.10 -
Kaspersky 7.0.0.125 2008.04.10 -
McAfee 5270 2008.04.09 -
Microsoft 1.3408 2008.04.10 -
NOD32v2 3016 2008.04.10 -
Norman 5.80.02 2008.04.10 -
Panda 9.0.0.4 2008.04.10 -
Prevx1 V2 2008.04.10 -
Rising 20.39.32.00 2008.04.10 -
Sophos 4.28.0 2008.04.10 Troj/Dorf-BA
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.10 Trojan.Peacomm
TheHacker 6.2.92.271 2008.04.10 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.09 Worm.Zhelatin.Gen!Pac.6
Webwasher-Gateway 6.6.2 2008.04.10 -
Дополнительная информация
File size: 132608 bytes
Хреновый детект   :( :(

#40 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 14 Май 2008 - 16:29

«Штормовой» ботнет

В 2007 году внимание исследователей информационной безопасности привлек P2P-ботнет, созданный на основе вредоносной программы, известной как Storm Worm. Авторы «штормового» червя распространяли свое детище весьма активно: по-видимому, они создали целую фабрику по созданию новых версий вредоносной программы. Начиная с января 2007 года мы ежедневно получаем 3-5 различных вариантов Storm Worm (по классификации «Лаборатории Касперского»- Email-Worm.Win32.Zhelatin).

Некоторые эксперты считают, что Storm Worm представляет собой вредоносную программу для построения зомби-сетей нового поколения. О том, что бот был разработан и распространяется профессионалами в своей области, а архитектура и защита зомби-сети хорошо продуманы, свидетельствуют следующие характеристики «штормового» ботнета:
Код бота мутирует, что напоминает полиморфные вирусы. Отличие Storm Worm состоит в том, что код, осуществляющий мутации, работает не внутри самой программы (как у полиморфиков), а на специальном компьютере в Сети. Этот механизм получил название «серверный полиморфизм» (server-side polymorphism).
Мутации происходят достаточно часто (были зафиксированы случаи мутаций раз в час) и – главное – на стороне сервера, так что обновления антивирусных баз для многих пользователей оказываются неэффективными.
Штормовой ботнет защищает свои ресурсы от слишком любопытных исследователей. Многие антивирусные компании периодически скачивают новые экземпляры червя с серверов, откуда происходит распространение вредоносной программы. Когда обнаруживаются частые обращения с одного и того же адреса, ботам дается команда начать DDoS-атаку этого адреса .
Вредоносная программа-бот старается как можно незаметнее функционировать в системе. Очевидно, что программа, которая постоянно атакует компьютер или проявляет большую сетевую активность, быстрее обращает на себя внимание и администраторов, и пользователей. Поэтому дозированная активность, которая не требует использования значительного числа компьютерных ресурсов, с точки зрения вредоносной программы наиболее безопасна.
Вместо коммуникации с центральным сервером штормовой червь связывается лишь с несколькими «соседними» компьютерами в зараженной сети, что делает задачу выявления всех зомби-машин в P2P-сети практически невыполнимой. Это принцип организации разведгруппы: каждый, кто входит в такую группу, знает только нескольких других членов группы, и провал одного агента разведки не означает, что вся группа раскрыта.
Авторы червя постоянно меняют способы его распространения. Изначально вредоносная программа распространялась как вложение в спамовые письма (в частности, под видом PDF-файлов); затем в спаме рассылались ссылки на зараженные файлы; были также попытки автоматического размещения в блогах комментариев, которые содержали ссылки на зараженные веб-страницы. И при любых способах распространения этой вредоносной программы использовались изощренные методы социальной инженерии.

Storm-ботнет принес немало проблем. Помимо массовой рассылки спама, его подозревают в участии в различных крупномасштабных DDoS-атаках по всему миру, и, по заявлениям некоторых исследователей, даже во время кибератаки на сайты эстонских правительственных учреждений в 2007 году не обошлось без участия «штормового» ботнета. То, на что потенциально способна такая сеть, вызывает неприятные ощущения у провайдеров и интернет-хостеров. Напряжения добавляет тот факт, что истинные размеры «штормового» ботнета так и остались тайной. Если другие зомби-сети, полностью или частично опирающиеся на C&C, можно увидеть целиком (в C&C виден каждый подключенный зомби-компьютер), то списка зараженных машин, входящих в «штормовой» ботнет, не видел никто из экспертов. По разным оценкам, размеры ботнета Storm Worm могли составлять от 50 тысяч до 10 миллионов зомби-машин.

К концу 2007 года Storm-ботнет как будто растаял, хотя мы по-прежнему ежедневно получаем несколько новых версий бота. Некоторые эксперты считают, что зомби-сеть распродали по частям, другие полагают, что ботнет оказался нерентабельным: его разработка и поддержка не окупались получаемой прибылью.

Источник: http://www.viruslist...pubid=204007610






Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных