Hosting stron www, który działa. Zawsze.
Witamy www.gigaweb.pl
Na podstawie próbek dostarczonych, spojrzał na nas niepowtarzalne wzory w nagłówki wiadomości, i zaczął do filtrowania ruchu w całej naszej własnej bazy klientów monitorowane do ujawnienia źródła IP trudny do rozsyłania spamu do naszych klientów.SPAM Botnety : Mega-D vs Storm pod lupą
Na podstawie próbek dostarczonych, spojrzał na nas niepowtarzalne wzory w nagłówki wiadomości, i zaczął do filtrowania ruchu w całej naszej własnej bazy klientów monitorowane do ujawnienia źródła IP trudny do rozsyłania spamu do naszych klientów.
Na podstawie próbek dostarczonych przez spam Marszałek, spojrzał na nas niepowtarzalne wzory w nagłówki wiadomości, i zaczął do filtrowania ruchu w całej naszej własnej bazy klientów monitorowane do ujawnienia źródła IP trudny do rozsyłania spamu do naszych klientów.
Na podstawie liczby Botswana podłączenia do serwerów pocztowych będziemy monitorować, uważamy, że Mega-D składa się z około 35000 zarażonych komputerów na całym świecie. Jest to bardzo silna botnet, ale żadne Wyzywający do pojedynku na Storm. Mimo że Storm waned ma około 85000 Botswana, to nadal posiada znacznie więcej możliwości spamowania.
Próbka typowy spam e-maila wysłanego przez Mega-D pokazany jest tutaj:
Po lokalizowania i śledzenia dużej liczby zainfekowanych adresów IP próby wysyłania spamu do naszych klientów, udało nam się zidentyfikować botnet dowodzenia i kontroli serwerów wraz z oprogramowaniem złośliwym odpowiedzialny za Mega-D spam. Jak okaże się, Mega-D składa się z roboty z mało znanej rodziny złośliwego oprogramowania o nazwie "Ozdok".
Pomimo najbardziej AV dostawców posiadających wykrywania dla Mega-D bot nas analizowane, tylko jeden z nich uznają go za część przemysłu Ozdok rodziny. Większość daje mu uniwersalne "catch-all nazwy takie jak" Pakes "lub" Agent ", które mogłyby stać się powodem, dla Ozdok był w stanie poślizgu na radar na ponad rok, jak powoli stworzyła olbrzymie botnet.
Niektóre próbki są Ozdok plików icf.exe, icf32.exe, cacglivn.exe, guyymgvl.exe i mm27nov.exe. W (fałszywych) osadzony jest plik opisu "Countermeasures ramowego programu Microsoft Internet". W starszych warianty zazwyczaj się do zainstalowania% windows% \ system32 \ svchost.exe: exe.exe lub podobnie nazwany zastępców strumień danych (ADS). Te strumienie są ukryte z aukcji w normalnym Explorer lub polecenia powłoki. Uruchamianie w czasie rozruchu jest ułatwione poprzez dodanie systemu usług oznakowane "ICF".
Dodatkowo system zmodyfikowano ustawienia zapory, aby dodać svchost.exe jako upoważniony stosowania. Mm27nov.exe nie wydaje się zawierać kod do utworzenia trwałości całej rozruchów, więc może to być po prostu aktualizacji, które mają być realizowane przez istniejące wystąpienie Ozdok.
Podczas uruchamiania, Ozdok zaczną instancji svchost.exe i wstrzyknąć jego kod do tego procesu. To próbuje rozwiązać jedną z następujących nazw domen w celu połączenia się z botnet polecenia i kontroli:
• uikkl.info
• rixosspa.info
• micralokp.biz
• yankdream.info
• blagoinc.info
• aaauaa.info
Komendy i dane są przesyłane przez port 80 do tych serwerów, ale nie jest ruch HTTP (lub nawet SSL) - komunikacja jest szyfrowane przy użyciu algorytmu niestandardowych. Z tego powodu, roboty tyle HTTP proxy prawdopodobnie będzie w stanie nawiązać kontakt z dowództwem i kontrolą serwera.
Po sprawdzeniu za pomocą kontrolera na porcie 80, Ozdok będzie próbował wysłać wiadomość testową do portu 25 na jednym z kontrolerów hostów. Jeśli to się powiedzie, to będzie do pobrania (szyfrowane przy użyciu protokołu przez port 80) spamu szablon i rozpocząć wysyłanie spamu na listę adresów e-mail uzyskane z serwera. Szablon jest schowane do wydajności. Zazwyczaj spam jak do tej pory nie zawierała reklamy VPXL (samiec poprawy produktu) oraz twórcy repliki.
Ciągi w Ozdok wykonywalny Ozdok wskazują, że jest świadomy serwery greylistingu zatrudniających jako środka do walki ze spamem, i jest w stanie powtórzyć wiadomości po upływie czasu, aby pokonać te zabezpieczenia. Dodatkowo, Ozdok próbuje dopasować do typu komunikatów o błędach z serwerów SMTP (w wielu językach), w celu ustalenia końcowego wyniku statusu wiadomości próbuje go wysłać.
W związku z tym może być skuteczny w pomaganiu bot właściciel utrzymuje czyste listę adresów e-mail poprzez ubój adresy odpowiedzieć, że "nie ma takiego użytkownika" i podobne komunikaty o błędach, przy jednoczesnym zachowaniu adresy, które zostały po prostu odrzucone, ponieważ szczególności poczty przeszły spam gości progu.
W tym samym czasie, powoduje to problem dla firm / osób którzy spamtrap używać adresów e-mail do monitorowania spam - jeśli z jakiegoś powodu spamtrap e-mail do nadawcy (na przykład z powodu innego naukowca jest kanału spamu, ale odrzuconych losowych wiadomości w celu utrzymania ich bot od stałego obecnie z 100% stawki dostawy) spamtrap zostanie usunięty z listy mailingowej botnet, a pojawi się on na monitorowanie strony jako spam choć z botnet spadło off. Może to przyczynić się do spadku-off w Marszałkowski Storm e-maile, ale to tylko speculating tutaj.
Kliknij tutaj, aby podział Ozdok / Mega-D botów na całym świecie jest tutaj:
Na podstawie raportów od właścicieli zainfekowanych maszyn, wydaje się, że jest zainstalowany Ozdok za pośrednictwem internetowych wykorzystuje, ale dokładny wektor jest nieznany.
Z wielu autorów Trojan coraz powołując się na "pay-per-install" wykorzystania usług, jest coraz więcej tych trudnych dni, aby ustalić, tylko gdy pochodzi od złośliwego oprogramowania, ponieważ może to być czas lub ilość ograniczona rozwijać w zależności od warunków do wykorzystania usługi.
W jednej rzeczy Ozdok jest po prostu pokazuje, jak łatwo jest wyrzucić swojego własnego spam botnet. Jest naprawdę nic strasznie skomplikowane o pobieraniu szablonu i wysyłania komend protokołu SMTP. A no-frills spamerskimi mogą być kodowane w bardzo krótkim czasie, i tak długo, jak nie zwraca zbytnio uwagi na siebie, mogą korzystać z dość długim okresie na jednym zestawie kontroler IP. Czas spędzony piśmie dodatkowych, takich jak protokoły kontroli P2P wydaje się zmarnowana, gdy botnet jak Ozdok / Mega-D można uruchomić w ciągu 6 miesięcy bez konieczności zmiany adresu IP kontrolera.
Artykuł: Joe Stewart, Senior Security Researcher z SecureWorks
Tagi: spam botnet botnet mega-d storm zarazone komputery
Artykuły o podobnej tematyce: Brak artykułów o zbliżonej tematyce.
Aktywność robotów sieciowych: Google: 93, MSN: 7, Yahoo: 49