[opennet.ru] Самоуничтожение ботнета привело к разрушению операционной системы Windows на 100 тыс. ПК

0

0

[копипаста]

В результате деятельности троянского ПО Zeus из строя выведено более 100 тыс. компьютеров. Среди управляющих команд червя была предусмотрена операция "kos" (kill operating system), приводившая к порче реестра и невозможности дальнейшей работы с Windows. В результате невыясненных обстоятельств (наиболее вероятно, из-за конфликта между криминальными группами, контролирующими ботнет), среди одного из ботнетов, преимущественно затрагивающего машины польских и испанских пользователей, злоумышленниками было инициировано выполнение команды "kos", что привело к неработоспособности около 100 тыс. компьютеров.

[/копипаста]

В общем дискас.

Ссылка

←	[slackware] переход от gz -> xz СОСТОЯЛСЯ!

Test Drive Moblin

→

← 1 2 →

Ответ на: комментарий от hibou 09.05.09 15:37:52 MSD

>Вот так и получается, что комп с виндой тебе на самом деле не принадлежит

Здравия желаю, товарищ Капитан.

abraziv_whiskey ★★★★★
(09.05.09 15:46:05 MSD)

Ссылка

А вот здесь: http://blog.s21sec.com/2009/04/when-bot-master-goes-mad-kill-os.html считают, что функция "kill OS" нужна, чтобы оставить жертву без интернета на то время, пока снимают деньги с его счетов. Чтобы он как можно дольше не мог заметить пропажу.

question4 ★★★★★
(09.05.09 15:48:54 MSD)

Зачем дискасс, какое нам дело до ущербных?

bioreactor ★★★★★
(09.05.09 16:02:27 MSD)

Ответ на: комментарий от question4 09.05.09 15:48:54 MSD

Это ж нужно одновременно и заботать комп, и знать, как снять деньги у его владельца, причем нужно сотни тысяч этого. В десять случаев еще можно поверить, а в сто тысяч - нет.

abraziv_whiskey ★★★★★
(09.05.09 16:05:34 MSD)

Ответ на: комментарий от bioreactor 09.05.09 16:02:27 MSD

>Зачем дискасс, какое нам дело до ущербных?

Это мы проводим подготовку к пиар-компании. Не пали контору.

abraziv_whiskey ★★★★★
(09.05.09 16:07:25 MSD)

Ссылка

Ответ на: комментарий от abraziv_whiskey 09.05.09 16:05:34 MSD

> Это ж нужно одновременно и заботать комп,

Техника давно отработана. Они купили готовый троян-тулкит :)

> и знать, как снять деньги у его владельца,

Платёжных систем и банков не так уж много. Даже если ограничиться только имеющими доступ через браузер с возможностью сохранения пароля и только теми пользователями, которые сохраняют пароли, получится немало.

Затем можно задействовать кейлоггер или аналог WinMacro и записать пароли у тех, кто пароли не сохраняет.

Для этих снятие денег можно автоматизировать.

> причем нужно сотни тысяч этого.

100 000 протрояненых в первом сообщении. У всех Windows, значит, минимум, у 60% IE (думаю, гораздо больше), скорее всего у большинства настройки по умолчанию — с сохранением пароля. Пусть будет половина от 60%. Думаю, найдётся платёжная система, доля которой среди испанских пользователей-чайников составляет десятки процентов. Пусть 20. Итого имеем 6000 жертв, которых можно обворовать за секунды. Даже не задействуя сложные инструменты вроде кейлоггеров.

> В десять случаев еще можно поверить, а в сто тысяч - нет.

А в 6 тысяч готов поверить? А остальные — за компанию, чтоб никого случайно не пропустить.

Я всё-таки считаю уничтожение реестра в Zeus заметанием следов. Но по моей ссылке есть и трояны, удалявшие ntldr и %WINDIR%\System32. Считаешь, что просто из вредности?

question4 ★★★★★
(09.05.09 16:37:55 MSD)

Ответ на: комментарий от question4 09.05.09 16:37:55 MSD

>Для этих снятие денег можно автоматизировать.

Ага. Это можно, вероятно.

>Считаешь, что просто из вредности?

Да я еще досовый darkavenger помню, только с тех пор вирусы стали коммерческими. Да и вообще, украл и тихо смылся - это лучше, чем украл и поджег дом.

abraziv_whiskey ★★★★★
(09.05.09 16:52:34 MSD)

Ответ на: комментарий от question4 09.05.09 16:37:55 MSD

s/удалявшие/способные удалять/

question4 ★★★★★
(09.05.09 16:53:03 MSD)

Ссылка

Ответ на: комментарий от abraziv_whiskey 09.05.09 16:52:34 MSD

>Считаешь, что просто из вредности?

Да я еще досовый darkavenger помню, только с тех пор вирусы стали коммерческими.

Вот именно. Зарабатывание денег плохо сочетается с истерическими припадками.

> Да и вообще, украл и тихо смылся - это лучше, чем украл и поджег дом.

Отягчающее обстоятельство, да. Но он может рассчитывать, что пока тушат, ловить его не будут.

question4 ★★★★★
(09.05.09 16:55:57 MSD)

Ответ на: комментарий от question4 09.05.09 16:55:57 MSD

А второй раз зайти он уже не сможет.

abraziv_whiskey ★★★★★
(09.05.09 17:26:03 MSD)

Ответ на: комментарий от abraziv_whiskey 09.05.09 17:26:03 MSD

> А второй раз зайти он уже не сможет.

А зачем? Деньги он взял, сколько мог, продажей ботнетов не занимается, благо создать новый легко, дырявых компьютеров достаточно, а жадность до добра не доводит, важно уйти вовремя.

question4 ★★★★★
(09.05.09 17:54:15 MSD)

Ссылка

дайте вотки. очень страшно

~~vostrik~~ ★★★☆
(09.05.09 18:00:04 MSD)

Ссылка

Ответ на: комментарий от question4 09.05.09 16:37:55 MSD

По ссылке рассказывается зачем нужна команда "kos" вообще, а не зачем её использовать одновременно для всей сети ботнета. Легко поверить, если злоумышленник обрабатывает своих жертв последовательно, параллельно при этом заражая другие компьютеры. Для того, чтобы вычислить негодяя вся сеть и не нужна, поэтому в версию "заметания следов" верится с трудом. Захотели бы - уже давно вычислили с помощью подставных компьютеров с "вылеченым" трояном.

Dendy ★★★★★
(09.05.09 23:27:15 MSD)

Ответ на: комментарий от Dendy 09.05.09 23:27:15 MSD

> Захотели бы - уже давно вычислили с помощью подставных компьютеров с "вылеченым" трояном.

Шаман об этом как-то рассказывал. Почему Касперский не имеет возможности так делать. Не вдаваясь в детали (которых я и не помню): это незаконно.

question4 ★★★★★
(10.05.09 01:24:28 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	[slackware] переход от gz -> xz СОСТОЯЛСЯ!

Talks

Test Drive Moblin

→

Похожие темы