Перейти к содержанию
rkhunter

Microsoft наконец-то взялись за ZBot

Автор rkhunter, в Общий форум по информационной безопасности

Recommended Posts

rkhunter    150

rkhunter
Опубликовано

TechNet blog

We have discussed in the past our collaboration with external parties to combat botnet threats to further the betterment of the Internet, such as Operations b49, b107 and b79. This week, Microsoft has partnered with security experts and the financial services industry on a new action codenamed Operation b71 to disrupt some of the worst known botnets using variants of the notorious Zeus malware (which we detect as Win32/Zbot).

http://blogs.technet.com/b/mmpc/archive/20...us-botnets.aspx

Cybercriminals have built hundreds of botnets using variants of Zeus malware. For this action – codenamed Operation b71 – we focused on botnets using Zeus, SpyEye and Ice-IX variants of the Zeus family of malware, known to cause the most public harm and which experts believe are responsible for nearly half a billion dollars in damages. Due to the unique complexity of these particular targets, unlike our prior botnet takedown operations, the goal here was not the permanent shutdown of all impacted targets. Rather, our goal was a strategic disruption of operations to mitigate the threat in order to cause long-term damage to the cybercriminal organization that relies on these botnets for illicit gain.
Zeus is especially dangerous because it is sold in the criminal underground as a crimeware kit, which allows criminals to set up new command and control servers and create their own individual Zeus botnets. These crimeware kits sell for anywhere between $700 to $15,000, depending on the version and features of the kit. Overall, Microsoft has detected more than 13 million suspected infections of this malware worldwide, with more than 3 million in the United States alone.

http://blogs.technet.com/b/microsoft_blog/...us-botnets.aspx

Последние три месяца вбрасывания огромнейшего количества ZBot (во всех его вариациях) не могли остаться не замеченными. Такого наводнения одной малварью, по-моему, не было даже в случае с ransomware или FakeAV. Вбросы были в т .ч и с BH EK с FUD пакерами для увеличения пробива. Также впечатляет сумма оцененного ущерба - около 500 млн $.

Странно что в статистике на securelist ZBot не фигурирует.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
Странно что в статистике на securelist ZBot не фигурирует.

Подкрутят :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sww    486

sww
Опубликовано
Странно что в статистике на securelist ZBot не фигурирует.

Скорее всего детект проходит под каким-нить "эвристическим" именем или .агентом :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Вообще я всегда ориентировался на точные детекты ZBot, которые последние несколько месяцев имели вид одной из трех записей: PWS:Win32/Zbot, PWS:Win32/Zbot.gen!AF, PWS:Win32/Zbot.gen!Y.

Kaspersky видит ZBot как: HEUR:Trojan.Win32.Generic, Trojan-Dropper.Win32.Injector.xxxx, Trojan-Spy.Win32.Zbot.xxxx.

Такие дела :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Вот собсно и тот редкий случай, когда "добрались" и до авторов.

... John Doe 1 is the

creator of the “Zeus” botnet code that, along with the “Ice-IX” and “SpyEye” botnet codes,

comprise the Zeus Botnets. John Doe 1 goes by the aliases “Slavik,” “Monstr,” “IOO” and/or

“Nu11” and may be contacted at messaging address ...

... John Doe 2 is the

creator of the “Ice-IX” botnet code that, along with the “Zeus” and “SpyEye” botnet codes,

comprise the Zeus Botnets. John Doe 2 goes by the aliases “zebra7753,” “lexa_mef,” “gss,” and

“iceIX” and may be contacted at Jabber messaging address ...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

CatalystX    25

CatalystX
Опубликовано
Kaspersky видит ZBot как: HEUR:Trojan.Win32.Generic.

Это детект зевса тех чуваков, у которых не хватило денег на криптор и они решили соорудить свою защиту с блэкджеком и шлюхами.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Это детект зевса тех чуваков, у которых не хватило денег на криптор и они решили соорудить свою защиту с блэкджеком и шлюхами.

Верно. Для тех же у кого денег хватило - у нас есть другие методы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Killer    55

Killer
Опубликовано

Для тех. у кого денег хватило, есть некто, кто может криптовать их файло с периодичностью 2 раза в сутки за символическое вознаграждение в 2000$-3000$ в неделю:)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

CatalystX    25

CatalystX
Опубликовано
Верно. Для тех же у кого денег хватило - у нас есть другие методы.

Метод прикольный, правда много людей далеких от аверных технологий, да и вообще от ИБ совершено не смущает текст в алертах и они жмут на первую кнопку лишь бы алерт исчез, а потом ноют что у них деньги со счета сперли.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано
Для тех. у кого денег хватило, есть некто, кто может криптовать их файло с периодичностью 2 раза в сутки за символическое вознаграждение в 2000$-3000$ в неделю:)

Так "они" и криптовали, но очень мало.

Но Kaspersky не может дать статистику по ZBot.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Тем временем выяснилось, что у Microsoft DCU не все так гладко.

История, которую опубликовали Fox-IT http://blog.fox-it.com/2012/04/12/critical...-operation-b71/ получила широкий резонанс.

Отвечать пришлось г-ну Richard Boscovich, который значится как юрист DCU - "senior attorney for Microsoft's Digital Crimes Unit" http://krebsonsecurity.com/2012/04/microso...botnet-bruhaha/.

Немного по сути претензий: http://artemonsecurity.blogspot.com/2012/0...osoft-zbot.html

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.9.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
    • ArktiTig
      Красивая арктика

      От ArktiTig · Опубликовано

      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      uVS - Тестирование

      От ArktiTig · Опубликовано

      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
×