Перейти к содержанию
AM_Bot

«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Автор AM_Bot, в Общий форум по информационной безопасности

Recommended Posts

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Ну он же должен что-то доунлоадить, а это что-то ворует или вредит как-то иначе. Если выяснится, что он ничего не устанавливает, а это что-то ничего не ворует это будет фейл. Любите огрызков засмеют всех антивирусных вендоров.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Ну он же должен что-то доунлоадить, а это что-то ворует или вредит как-то иначе. Если выяснится, что он ничего не устанавливает, а это что-то ничего не ворует это будет фейл. Любите огрызков засмеют всех антивирусных вендоров.

что ему дадут скачать - то и скачает.

читайте же внимательно что DrWeb пишет, они же старались.

P.S. Один из загружаемых файлов, как минимум, является trojan-clicker, с подменой поисковых запросов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано

Да, Dr.Web, похоже, в очередной раз реально молодцы.

И в очередной раз, наверняка, смогут реально просрать весь возможный "пиарный" профит.

Такой вот парадокс.

Но надеюсь, что не смогут. :D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
В общем мы продолжаем проверять. Есть два вопроса всего:

1. Существует ли ботнет из более чем 500к машин ?

- ответ: да, мы это подтверждаем

2. Все ли эти 500к являются маками ?

- ответ: пока не знаем, поэтому ни подтвердить ни опровергнуть не можем.

Вот теперь у нас есть все ответы. Ну почти.

http://www.securelist.com/en/blog/20819344...otnet_confirmed

P.S. И да, windows bot существует. Шаров "подтвердил" :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано
они же старались.

A., ну что Вы сегодня сливаете и сливаете.

Вон в теме про андроид Рабиновичу слили левобезответно, здесь тоже.

Учитесь проигрывать, не бабу ведь проиграли. Ну некрасиво это, в очередной раз неожиданно и никто не поймет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
A., ну что Вы сегодня сливаете и сливаете.

Вон в теме про андроид Рабиновичу слили левобезответно, здесь тоже.

Учитесь проигрывать, не бабу ведь проиграли. Ну некрасиво это, в очередной раз неожиданно и никто не поймет.

У вас паранойя что ли ? Где я хоть что-то плохое про веб сказал в связи с этим ботом ? Закусывайте уже

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
Ну он же должен что-то доунлоадить
Получив ответ от управляющего сервера, BackDoor.Flashback.39 проверяет наличие в нем трех тегов:##begin####sign####end##Если проверка сообщения по подписи RSA оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку.

Источник

Ну а там уже что подложат на сервере в качестве "полезной нагрузки".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано

Костин Раю - "We used passive OS fingerprinting to confirm the Flashfake botnet victims are mostly MacOS X computers."

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано
Где я хоть что-то плохое про веб сказал в связи с этим ботом ?

В интонациях?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано

Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Flashback Is Not a Trojan Horse; What Is It?

The Flashback malware, which may have infected more than a half-million Macs already, has been getting a lot of attention in the press. But many media are calling it the “Flashback Trojan,” or even a “Trojan virus.” Is it correct to use these terms?

Well, Flashback is not a Trojan horse. While the distinction is, perhaps, not important if you have been infected by this malware, it actually is useful to know.

бла бла бла

читайте дальше сами

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано
Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Явно, диаволы, а точнее пи...арсы.

Не, они точно, ети самые. Вон как отвлекают от сути вещей.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано
More than 98% of incoming network packets were most likely sent from Mac OS X hosts.

Значит все же MacOS преимуществвенно ..

Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Flashback Is Not a Trojan Horse; What Is It?

Я в общем тот же вопрос озвучивал выше. Важно узнать что этот загрузчик на самом деле качал. Иначе картина неполная, это не выглядит как реальная опасность. Т.е. все это не говорит об успешности атаки ИМХО, ибо не видно профита. Типичный маковод-дизайнер подумает "ну поставилась какая-то хрень, что с того ... ничего же не пропало ... а значит Мак рулит и будет рулить!"

Кроме того, никто не показал, что этот загрузкик позволяет реально что-то поставить без отдельного запросов к юзеру, т.е. в скрытом режиме. Если он до сих пор ничего не загрузил (следы обратного есть какие-то?), то очевидно есть какие-то проблемы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано
Кроме того, никто не показал, что этот загрузкик позволяет реально что-то поставить без отдельного запросов к юзеру, т.е. в скрытом режиме.

В смысле не показали? Уже расписали CVE-, которые именно для этого и используются, для установки по-тихому.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Я в общем тот же вопрос озвучивал выше. Важно узнать что этот загрузчик на самом деле качал. Иначе картина неполная, это не выглядит как реальная опасность. Т.е. все это не говорит об успешности атаки ИМХО, ибо не видно профита. Типичный маковод-дизайнер подумает "ну поставилась какая-то хрень, что с того ... ничего же не пропало ... а значит Мак рулит и будет рулить!"

Дубль два (в смысле, я же выше уже сегодня писал - что) :

http://www.forbes.com/sites/andygreenberg/...for-clickfraud/

Schouwenberg says that for now, the hijacked Macs are being used for click fraud, creating Web traffic from the infected machines to boost revenue from pay-per-click and pay-per-impression advertisements. He says there’s no evidence yet that they’re being used for credit card fraud. But like any Trojan, the malware functions as a backdoor on the user’s computer, and can allow new software updates to be downloaded. ”They could easily update what they’re doing in the future,” Schouwenberg says

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rkhunter    150

rkhunter
Опубликовано
Дубль два (в смысле, я же выше уже сегодня писал - что) :

Это уже давно понятно, по-моему еще со вчерашнего дня. Тут другое спрашивают, как он попадает и запускается.

Судя по тому, что пишут, это CVE-, которые, например, используют для пробива эксплойт-паки или какие-либо TDS, перенаправляющие трафик юзера туда, где ему этот CVE попытаются впарить. Короче, скомпрометированные с помощью malicious iframe сайты, по-моему главный источник заразы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано
Это уже давно понятно, по-моему еще со вчерашнего дня. Тут другое спрашивают, как он попадает и запускается.

Судя по тому, что пишут, это CVE-, которые, например, используют для пробива эксплойт-паки или какие-либо TDS, перенаправляющие трафик юзера туда, где ему этот CVE попытаются впарить. Короче, скомпрометированные с помощью malicious iframe сайты, по-моему главный источник заразы.

А это еще 4 дня назад было сказано и вот например эту ссылку я уже тут давал

http://arstechnica.com/apple/news/2012/04/...word-needed.ars

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано

Dr.Web предлагает онлайн-сервис проверки для пользователей Mac на предмет инфицирования BackDoor.Flashback.39.

В качестве теста:

public.dev.drweb.com_2012_4_6_23_23_22.png

post-270-1333743666_thumb.png

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

maxz    5

maxz
Опубликовано
Доктор Веб же в свою очередь тут категоричен - это Маки. Не пойму как они это узнали - бот на синкхоле передает только свой айдишник, без платформы и мак-адреса.
We have used passive OS fingerprinting techniques to get a rough estimation. More than 98% of incoming network packets were most likely sent from Mac OS X hosts.

Оказывается и без элементарного понимания TCP/IP вполне можно работать аналитиком. Внезапно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Виталий Я.    859

Виталий Я.
Опубликовано
Так почему в алабамской деревне больше жертв чем в Купертино ?

А вдруг патчи в Эпле ТАКИ заставляют ставить? ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SDA    750

SDA
Опубликовано
А вдруг патчи в Эпле ТАКИ заставляют ставить? ;)

http://support.apple.com/kb/ht1338?viewloc...mp;locale=ru_RU

Dr.Web предлагает онлайн-сервис проверки для пользователей Mac на предмет инфицирования BackDoor.Flashback.39.

В качестве теста:

public.dev.drweb.com_2012_4_6_23_23_22.png

пример работы ручками при наличии моска :rolleyes:

Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents

Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.

Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:

ls -la | grep -v ^drwx

Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.

получим вывод:

-rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding

-rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store

-rw——- 1 paul staff 0 25 фев 21:08 .Xauthority

-rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect

-rw——- 1 paul staff 10659 5 апр 18:27 .bash_history

-rw——- 1 paul staff 75 2 мар 11:44 .lesshst

-rw——- 1 paul staff 1117 5 дек 15:39 .php_history

-rw——- 1 paul staff 12288 2 мар 19:44 .swn

-rw——- 1 paul staff 12288 8 ноя 18:22 .swo

-rw——- 1 paul staff 12288 26 окт 13:36 .swp

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

-rw——- 1 root staff 5309 2 апр 11:15 .viminfo

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

Вот это исполнимый файл. (в данном случае имитация вируса)

удаляется из той же командной строки:

rm .mkeeper

  • Upvote 10

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
пример работы ручками при наличии моска :rolleyes:

Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents

Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.

Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:

ls -la | grep -v ^drwx

Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.

получим вывод:

-rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding

-rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store

-rw——- 1 paul staff 0 25 фев 21:08 .Xauthority

-rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect

-rw——- 1 paul staff 10659 5 апр 18:27 .bash_history

-rw——- 1 paul staff 75 2 мар 11:44 .lesshst

-rw——- 1 paul staff 1117 5 дек 15:39 .php_history

-rw——- 1 paul staff 12288 2 мар 19:44 .swn

-rw——- 1 paul staff 12288 8 ноя 18:22 .swo

-rw——- 1 paul staff 12288 26 окт 13:36 .swp

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

-rw——- 1 root staff 5309 2 апр 11:15 .viminfo

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

Вот это исполнимый файл. (в данном случае имитация вируса)

удаляется из той же командной строки:

rm .mkeeper

"Контрреволюционные вещи Вы говорите, Филипп Филиппович..." (с) :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SDA    750

SDA
Опубликовано
"Контрреволюционные вещи Вы говорите, Филипп Филиппович..." (с) :)

Внезапно.. меня позвала Дочь (отдал ей Мак как постоянному пользователю вконтакте, естественно без информации о рутовском пароле). Я чуть кофе не поперхнулся :lol:

______.jpg

post-6726-1333793924_thumb.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Kapral    311

Kapral
Опубликовано
Я чуть кофе не поперхнулся

Все таки маки вредны для здоровья ;)

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Razboynik    105

Razboynik
Опубликовано

Вообще не удивительно что под "маки" начали появляться зловреды, удивительнее было бы, если бы на "маки" злоумышленники продолжали не обращать внимание.

Да, маководов меньше, но у них более толстые кошельки. Сам комп + операционка маководов = дороже, чем оборудование для винды (простенький комп + многие за винду вообще не платят). А с линуксоидов что взять?

А так как зловреды пишут для обогащения - маководы очень даже не плохая ниша для этих целей.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано
А так как зловреды пишут для обогащения - маководы очень даже не плохая ниша для этих целей.

Ну пока слабенько начали. ОС не блочат, деньги не вымогают, хард не шифруют. Аккуратно начали я бы сказал. Хардкор отложили на потом.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • YuriiGabform
      uVS - Тестирование

      От YuriiGabform · Опубликовано

      Приветствуем вас! Давайте вместе достигнем новых высот. Готовы обсудить детали?


      Это сообщение попало к вам, а что, если такие же предложения о вашем бизнесе увидят тысячи? Воспользуйтесь нашими рассылками и дайте вашему бизнесу шанс на успех!


      Благодарим за интерес к нашему предложению. Мы уверены, что наше сотрудничество станет успешным для обеих сторон. Приглашаем вас посетить наш сайт и передать нашу информацию вашему руководителю. Удачи в бизнесе и успехов!

      Контактируйте: Сайт: http://formsait.tilda.ws Почта: marketing.trafik@mail.ru

      Расширьте базу клиентов без лишних затрат! Попробуйте нашу рассылку уже сегодня.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
×