Перейти к содержанию

Recommended Posts

A.

о Доркботе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Спасибо. Я вот сидел гадал. У нас он как детектится? Я в ихних названиях шокируюсь..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Я в ихних названиях шокируюсь..

Скорее, это приятный шок, ибо они придерживаются некой культуры именования в отличие от остальных коллег по цеху...

Судя всему, в своей массе Worm:Win32/Dorkbot это NgrBot по классификациям KL и Dr.Web. Причём с кучей левых детектов, сделанных, скорее всего, добавляющими роботами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Зачем он тебе ? Он в Латинской Америке в основном

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Зачем он тебе ? Он в Латинской Америке в основном

Для общего развития. Но да ладно. Хрен с ним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Судя по-всему, заметка приурочена к скоропостижной гибели SpyEye, с которым сравнивается этот NgrBot/DorkBot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Судя по-всему, заметка приурочена к скоропостижной гибели SpyEye

SpyEye погибнет лишь тогда, когда ФБР поймает его автора. Другого варианта гибели нет. Средний детект аверами его бинарников составляет 25.79%, что на 11% ниже чем у зевса. Оснований для гибели нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
izlesa
SpyEye погибнет лишь тогда, когда ФБР поймает его автора. Другого варианта гибели нет. Средний детект аверами его бинарников составляет 25.79%, что на 11% ниже чем у зевса. Оснований для гибели нет.

Учитывая то, что активности автора уже нет какоето время (как и новых версий) и отсутствие в паблике билдеров стабильных версий, думаю SpyEye в том виде в котором он существовал исчезнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Учитывая то, что активности автора уже нет какоето время (как и новых версий) и отсутствие в паблике билдеров стабильных версий, думаю SpyEye в том виде в котором он существовал исчезнет.

Угу. Скорее всего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Хорошо, если бы он тихо помер без утечек текстов.

Может получится как с ZBot, колоссальные объемы которого вбрасываются уже несколько месяцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Не знаю насчет SY, но вот кое-кто причастный к кое-чему другому, но похожему, вчера уже помер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Не знаю насчет SY, но вот кое-кто причастный к кое-чему другому, но похожему, вчера уже помер.

Автор Зевса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Злоумышленники взламывали сайты, которые активно используют в своей деятельности бухгалтера, а также интернет-ресурсы популярных СМИ и крупных магазинов и заражали их вредоносными программами. Установив скрытный удаленный доступ к компьютеру потенциальной жертвы и, обнаружив на нем программы и реквизиты для работы с банковскими счетами, так называемый «заливщик» формировал мошенническое платежное поручение о перечислении денежных средств на заранее подготовленный счет. Далее похищенные деньги обналичивались посредством банковских карт, оформленных на подставных физических или юридических лиц.

Для комфортной работы «заливщиков» руководителями группы был открыт офис, который функционировал как компания по восстановлению данных.

«Наши специалисты провели колоссальную работу, результатом которой стало установление организатора преступной группы, владеющего и управляющего специализированной банковской бот-сетью, выявление серверов управления и фактов направления трафика с популярных сайтов для заражения вредоносными программами, – отметил Илья Сачков, генеральный директор Goup-IB. – Экспертизы, проведенные в нашей Лаборатории компьютерной криминалистики, подтвердили использование злоумышленниками вредоносных программ Win32/Carberp и Win32/Rdpdor для хищений денежных средств».

Group-IB - RIP Carberp gang

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Спецназ на задержание не просто так брали, кстати :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
да, там еще парочка "уроженцев Санкт-Петербурга" огребла

Круто, молодцы. Но фамилии мы опять только от немецких/американских блогеров услышим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

А зачем тебе фамилии ? Знакомых ищещь ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
BeAsT

Поймали они походу не создателей! Просто группу "заливщиков" (там кстати вскользь так и написано), причем походу одну из... Грязный пиар...

Так что не стоит пока хоронить Карберп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Непонятно зачем Group-IB (при всех ее заслугах в этой операции) начали черезчур интенсивный PR (на фейсбуке) этой операции. Какие-то "операция, не имеющая аналогов в мировой истории", "раскрытие всей цепочки"...Какой цепочки? Какие аналоги?

Скорее всего какие-то парни решили подзаработать вот таким образом, нашли по объявлениям арендаторов соответствующие услуги (коих на просторах нашего рунета пруд пруди). Заполучили что-то вроде "билдера", адаптировали его под свои цели, ну а дальше уже обычная цепь кибермошенничества с теми же "мулами" и "обналичкой".

Те семплы Carberp, которые я наблюдал в течение двух последних месяцев были только даунлоадеры, что отличает его от схемы распространения тех же ZBot и SpyEye (дропперы).

Детальный отчет о ликвидации пока не представлен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Непонятно зачем Group-IB (при всех ее заслугах в этой операции) начали черезчур интенсивный PR (на фейсбуке) этой операции. Какие-то "операция, не имеющая аналогов в мировой истории", "раскрытие всей цепочки"...Какой цепочки? Какие аналоги?

Я на эту тему уже высказался там

http://banks.cnews.ru/news/top/index.shtml?2012/03/20/482278

P.S. И да, как вы может быть заметили :) - я об этой операции (арестах) знал еще почти неделю назад. А сообщили официально об этом только сейчас. Почему ? Не скажу. Пока не скажу. Лучше давайте делать ставки на приговор - условный срок или реальные ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Видно что в этой группе (по операции по поимке) занимались парни, не имеющие отношения к AV, в отчете много воды и какие-то невнятные формулировки. По сути так оно и есть, те кто его продавал остались за кадром (не говоря уже о кодерах).

А кому давать и какой срок? Тем "верхам" которые только учавствовали в мошеннической схеме, ну так тут ничего интересного вроде нет. Единственно имя _Carberp_, а так-то...

Мне лично сейчас интересно другое. А именно, куда пропал TDL и что сейчас с ботнетом, подает ли он признаки жизни.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А зачем тебе фамилии ? Знакомых ищещь ?

Не, я в детстве в рассылках кардерством не баловался, с тех пор знакомых в этой "индустрии" не приобрел ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Мне лично сейчас интересно другое. А именно, куда пропал TDL и что сейчас с ботнетом, подает ли он признаки жизни.

Его авторы срубили бабла и укатили жить куда-то на острова. Или усердно TDL5 клепают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×