Danilka

MSRT March 2012: Breaking bad

В этой теме 40 сообщений

Спасибо. Я вот сидел гадал. У нас он как детектится? Я в ихних названиях шокируюсь..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я в ихних названиях шокируюсь..

Скорее, это приятный шок, ибо они придерживаются некой культуры именования в отличие от остальных коллег по цеху...

Судя всему, в своей массе Worm:Win32/Dorkbot это NgrBot по классификациям KL и Dr.Web. Причём с кучей левых детектов, сделанных, скорее всего, добавляющими роботами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зачем он тебе ? Он в Латинской Америке в основном

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зачем он тебе ? Он в Латинской Америке в основном

Для общего развития. Но да ладно. Хрен с ним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Судя по-всему, заметка приурочена к скоропостижной гибели SpyEye, с которым сравнивается этот NgrBot/DorkBot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Судя по-всему, заметка приурочена к скоропостижной гибели SpyEye

SpyEye погибнет лишь тогда, когда ФБР поймает его автора. Другого варианта гибели нет. Средний детект аверами его бинарников составляет 25.79%, что на 11% ниже чем у зевса. Оснований для гибели нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpyEye погибнет лишь тогда, когда ФБР поймает его автора. Другого варианта гибели нет. Средний детект аверами его бинарников составляет 25.79%, что на 11% ниже чем у зевса. Оснований для гибели нет.

Учитывая то, что активности автора уже нет какоето время (как и новых версий) и отсутствие в паблике билдеров стабильных версий, думаю SpyEye в том виде в котором он существовал исчезнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Учитывая то, что активности автора уже нет какоето время (как и новых версий) и отсутствие в паблике билдеров стабильных версий, думаю SpyEye в том виде в котором он существовал исчезнет.

Угу. Скорее всего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хорошо, если бы он тихо помер без утечек текстов.

Может получится как с ZBot, колоссальные объемы которого вбрасываются уже несколько месяцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не знаю насчет SY, но вот кое-кто причастный к кое-чему другому, но похожему, вчера уже помер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не знаю насчет SY, но вот кое-кто причастный к кое-чему другому, но похожему, вчера уже помер.

Автор Зевса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Злоумышленники взламывали сайты, которые активно используют в своей деятельности бухгалтера, а также интернет-ресурсы популярных СМИ и крупных магазинов и заражали их вредоносными программами. Установив скрытный удаленный доступ к компьютеру потенциальной жертвы и, обнаружив на нем программы и реквизиты для работы с банковскими счетами, так называемый «заливщик» формировал мошенническое платежное поручение о перечислении денежных средств на заранее подготовленный счет. Далее похищенные деньги обналичивались посредством банковских карт, оформленных на подставных физических или юридических лиц.

Для комфортной работы «заливщиков» руководителями группы был открыт офис, который функционировал как компания по восстановлению данных.

«Наши специалисты провели колоссальную работу, результатом которой стало установление организатора преступной группы, владеющего и управляющего специализированной банковской бот-сетью, выявление серверов управления и фактов направления трафика с популярных сайтов для заражения вредоносными программами, – отметил Илья Сачков, генеральный директор Goup-IB. – Экспертизы, проведенные в нашей Лаборатории компьютерной криминалистики, подтвердили использование злоумышленниками вредоносных программ Win32/Carberp и Win32/Rdpdor для хищений денежных средств».

Group-IB - RIP Carberp gang

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спецназ на задержание не просто так брали, кстати :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
да, там еще парочка "уроженцев Санкт-Петербурга" огребла

Круто, молодцы. Но фамилии мы опять только от немецких/американских блогеров услышим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А зачем тебе фамилии ? Знакомых ищещь ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поймали они походу не создателей! Просто группу "заливщиков" (там кстати вскользь так и написано), причем походу одну из... Грязный пиар...

Так что не стоит пока хоронить Карберп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Непонятно зачем Group-IB (при всех ее заслугах в этой операции) начали черезчур интенсивный PR (на фейсбуке) этой операции. Какие-то "операция, не имеющая аналогов в мировой истории", "раскрытие всей цепочки"...Какой цепочки? Какие аналоги?

Скорее всего какие-то парни решили подзаработать вот таким образом, нашли по объявлениям арендаторов соответствующие услуги (коих на просторах нашего рунета пруд пруди). Заполучили что-то вроде "билдера", адаптировали его под свои цели, ну а дальше уже обычная цепь кибермошенничества с теми же "мулами" и "обналичкой".

Те семплы Carberp, которые я наблюдал в течение двух последних месяцев были только даунлоадеры, что отличает его от схемы распространения тех же ZBot и SpyEye (дропперы).

Детальный отчет о ликвидации пока не представлен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Непонятно зачем Group-IB (при всех ее заслугах в этой операции) начали черезчур интенсивный PR (на фейсбуке) этой операции. Какие-то "операция, не имеющая аналогов в мировой истории", "раскрытие всей цепочки"...Какой цепочки? Какие аналоги?

Я на эту тему уже высказался там

http://banks.cnews.ru/news/top/index.shtml?2012/03/20/482278

P.S. И да, как вы может быть заметили :) - я об этой операции (арестах) знал еще почти неделю назад. А сообщили официально об этом только сейчас. Почему ? Не скажу. Пока не скажу. Лучше давайте делать ставки на приговор - условный срок или реальные ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Видно что в этой группе (по операции по поимке) занимались парни, не имеющие отношения к AV, в отчете много воды и какие-то невнятные формулировки. По сути так оно и есть, те кто его продавал остались за кадром (не говоря уже о кодерах).

А кому давать и какой срок? Тем "верхам" которые только учавствовали в мошеннической схеме, ну так тут ничего интересного вроде нет. Единственно имя _Carberp_, а так-то...

Мне лично сейчас интересно другое. А именно, куда пропал TDL и что сейчас с ботнетом, подает ли он признаки жизни.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А зачем тебе фамилии ? Знакомых ищещь ?

Не, я в детстве в рассылках кардерством не баловался, с тех пор знакомых в этой "индустрии" не приобрел ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне лично сейчас интересно другое. А именно, куда пропал TDL и что сейчас с ботнетом, подает ли он признаки жизни.

Его авторы срубили бабла и укатили жить куда-то на острова. Или усердно TDL5 клепают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 11.2.49.
    • PR55.RP55
      При попытке выполнить  в uVS:  "Открыть в браузере отчёт" 404 - Запрашиваемая страница не найдена. https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54 При том, что SHA файла есть: https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/ И так для всех файлов.  
    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!