Danilka

MSRT March 2012: Breaking bad

В этой теме 40 сообщений

Спасибо. Я вот сидел гадал. У нас он как детектится? Я в ихних названиях шокируюсь..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я в ихних названиях шокируюсь..

Скорее, это приятный шок, ибо они придерживаются некой культуры именования в отличие от остальных коллег по цеху...

Судя всему, в своей массе Worm:Win32/Dorkbot это NgrBot по классификациям KL и Dr.Web. Причём с кучей левых детектов, сделанных, скорее всего, добавляющими роботами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зачем он тебе ? Он в Латинской Америке в основном

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зачем он тебе ? Он в Латинской Америке в основном

Для общего развития. Но да ладно. Хрен с ним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Судя по-всему, заметка приурочена к скоропостижной гибели SpyEye, с которым сравнивается этот NgrBot/DorkBot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Судя по-всему, заметка приурочена к скоропостижной гибели SpyEye

SpyEye погибнет лишь тогда, когда ФБР поймает его автора. Другого варианта гибели нет. Средний детект аверами его бинарников составляет 25.79%, что на 11% ниже чем у зевса. Оснований для гибели нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpyEye погибнет лишь тогда, когда ФБР поймает его автора. Другого варианта гибели нет. Средний детект аверами его бинарников составляет 25.79%, что на 11% ниже чем у зевса. Оснований для гибели нет.

Учитывая то, что активности автора уже нет какоето время (как и новых версий) и отсутствие в паблике билдеров стабильных версий, думаю SpyEye в том виде в котором он существовал исчезнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Учитывая то, что активности автора уже нет какоето время (как и новых версий) и отсутствие в паблике билдеров стабильных версий, думаю SpyEye в том виде в котором он существовал исчезнет.

Угу. Скорее всего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хорошо, если бы он тихо помер без утечек текстов.

Может получится как с ZBot, колоссальные объемы которого вбрасываются уже несколько месяцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не знаю насчет SY, но вот кое-кто причастный к кое-чему другому, но похожему, вчера уже помер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не знаю насчет SY, но вот кое-кто причастный к кое-чему другому, но похожему, вчера уже помер.

Автор Зевса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Злоумышленники взламывали сайты, которые активно используют в своей деятельности бухгалтера, а также интернет-ресурсы популярных СМИ и крупных магазинов и заражали их вредоносными программами. Установив скрытный удаленный доступ к компьютеру потенциальной жертвы и, обнаружив на нем программы и реквизиты для работы с банковскими счетами, так называемый «заливщик» формировал мошенническое платежное поручение о перечислении денежных средств на заранее подготовленный счет. Далее похищенные деньги обналичивались посредством банковских карт, оформленных на подставных физических или юридических лиц.

Для комфортной работы «заливщиков» руководителями группы был открыт офис, который функционировал как компания по восстановлению данных.

«Наши специалисты провели колоссальную работу, результатом которой стало установление организатора преступной группы, владеющего и управляющего специализированной банковской бот-сетью, выявление серверов управления и фактов направления трафика с популярных сайтов для заражения вредоносными программами, – отметил Илья Сачков, генеральный директор Goup-IB. – Экспертизы, проведенные в нашей Лаборатории компьютерной криминалистики, подтвердили использование злоумышленниками вредоносных программ Win32/Carberp и Win32/Rdpdor для хищений денежных средств».

Group-IB - RIP Carberp gang

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спецназ на задержание не просто так брали, кстати :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
да, там еще парочка "уроженцев Санкт-Петербурга" огребла

Круто, молодцы. Но фамилии мы опять только от немецких/американских блогеров услышим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А зачем тебе фамилии ? Знакомых ищещь ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поймали они походу не создателей! Просто группу "заливщиков" (там кстати вскользь так и написано), причем походу одну из... Грязный пиар...

Так что не стоит пока хоронить Карберп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Непонятно зачем Group-IB (при всех ее заслугах в этой операции) начали черезчур интенсивный PR (на фейсбуке) этой операции. Какие-то "операция, не имеющая аналогов в мировой истории", "раскрытие всей цепочки"...Какой цепочки? Какие аналоги?

Скорее всего какие-то парни решили подзаработать вот таким образом, нашли по объявлениям арендаторов соответствующие услуги (коих на просторах нашего рунета пруд пруди). Заполучили что-то вроде "билдера", адаптировали его под свои цели, ну а дальше уже обычная цепь кибермошенничества с теми же "мулами" и "обналичкой".

Те семплы Carberp, которые я наблюдал в течение двух последних месяцев были только даунлоадеры, что отличает его от схемы распространения тех же ZBot и SpyEye (дропперы).

Детальный отчет о ликвидации пока не представлен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Непонятно зачем Group-IB (при всех ее заслугах в этой операции) начали черезчур интенсивный PR (на фейсбуке) этой операции. Какие-то "операция, не имеющая аналогов в мировой истории", "раскрытие всей цепочки"...Какой цепочки? Какие аналоги?

Я на эту тему уже высказался там

http://banks.cnews.ru/news/top/index.shtml?2012/03/20/482278

P.S. И да, как вы может быть заметили :) - я об этой операции (арестах) знал еще почти неделю назад. А сообщили официально об этом только сейчас. Почему ? Не скажу. Пока не скажу. Лучше давайте делать ставки на приговор - условный срок или реальные ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Видно что в этой группе (по операции по поимке) занимались парни, не имеющие отношения к AV, в отчете много воды и какие-то невнятные формулировки. По сути так оно и есть, те кто его продавал остались за кадром (не говоря уже о кодерах).

А кому давать и какой срок? Тем "верхам" которые только учавствовали в мошеннической схеме, ну так тут ничего интересного вроде нет. Единственно имя _Carberp_, а так-то...

Мне лично сейчас интересно другое. А именно, куда пропал TDL и что сейчас с ботнетом, подает ли он признаки жизни.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А зачем тебе фамилии ? Знакомых ищещь ?

Не, я в детстве в рассылках кардерством не баловался, с тех пор знакомых в этой "индустрии" не приобрел ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне лично сейчас интересно другое. А именно, куда пропал TDL и что сейчас с ботнетом, подает ли он признаки жизни.

Его авторы срубили бабла и укатили жить куда-то на острова. Или усердно TDL5 клепают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS