Перейти к содержанию
AM_Bot

«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Recommended Posts

Сергей Ильин

Ну он же должен что-то доунлоадить, а это что-то ворует или вредит как-то иначе. Если выяснится, что он ничего не устанавливает, а это что-то ничего не ворует это будет фейл. Любите огрызков засмеют всех антивирусных вендоров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну он же должен что-то доунлоадить, а это что-то ворует или вредит как-то иначе. Если выяснится, что он ничего не устанавливает, а это что-то ничего не ворует это будет фейл. Любите огрызков засмеют всех антивирусных вендоров.

что ему дадут скачать - то и скачает.

читайте же внимательно что DrWeb пишет, они же старались.

P.S. Один из загружаемых файлов, как минимум, является trojan-clicker, с подменой поисковых запросов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme

Да, Dr.Web, похоже, в очередной раз реально молодцы.

И в очередной раз, наверняка, смогут реально просрать весь возможный "пиарный" профит.

Такой вот парадокс.

Но надеюсь, что не смогут. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
В общем мы продолжаем проверять. Есть два вопроса всего:

1. Существует ли ботнет из более чем 500к машин ?

- ответ: да, мы это подтверждаем

2. Все ли эти 500к являются маками ?

- ответ: пока не знаем, поэтому ни подтвердить ни опровергнуть не можем.

Вот теперь у нас есть все ответы. Ну почти.

http://www.securelist.com/en/blog/20819344...otnet_confirmed

P.S. И да, windows bot существует. Шаров "подтвердил" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
они же старались.

A., ну что Вы сегодня сливаете и сливаете.

Вон в теме про андроид Рабиновичу слили левобезответно, здесь тоже.

Учитесь проигрывать, не бабу ведь проиграли. Ну некрасиво это, в очередной раз неожиданно и никто не поймет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
A., ну что Вы сегодня сливаете и сливаете.

Вон в теме про андроид Рабиновичу слили левобезответно, здесь тоже.

Учитесь проигрывать, не бабу ведь проиграли. Ну некрасиво это, в очередной раз неожиданно и никто не поймет.

У вас паранойя что ли ? Где я хоть что-то плохое про веб сказал в связи с этим ботом ? Закусывайте уже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ну он же должен что-то доунлоадить
Получив ответ от управляющего сервера, BackDoor.Flashback.39 проверяет наличие в нем трех тегов:##begin####sign####end##Если проверка сообщения по подписи RSA оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку.

Источник

Ну а там уже что подложат на сервере в качестве "полезной нагрузки".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Костин Раю - "We used passive OS fingerprinting to confirm the Flashfake botnet victims are mostly MacOS X computers."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
Где я хоть что-то плохое про веб сказал в связи с этим ботом ?

В интонациях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Flashback Is Not a Trojan Horse; What Is It?

The Flashback malware, which may have infected more than a half-million Macs already, has been getting a lot of attention in the press. But many media are calling it the “Flashback Trojan,” or even a “Trojan virus.” Is it correct to use these terms?

Well, Flashback is not a Trojan horse. While the distinction is, perhaps, not important if you have been infected by this malware, it actually is useful to know.

бла бла бла

читайте дальше сами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Явно, диаволы, а точнее пи...арсы.

Не, они точно, ети самые. Вон как отвлекают от сути вещей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
More than 98% of incoming network packets were most likely sent from Mac OS X hosts.

Значит все же MacOS преимуществвенно ..

Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Flashback Is Not a Trojan Horse; What Is It?

Я в общем тот же вопрос озвучивал выше. Важно узнать что этот загрузчик на самом деле качал. Иначе картина неполная, это не выглядит как реальная опасность. Т.е. все это не говорит об успешности атаки ИМХО, ибо не видно профита. Типичный маковод-дизайнер подумает "ну поставилась какая-то хрень, что с того ... ничего же не пропало ... а значит Мак рулит и будет рулить!"

Кроме того, никто не показал, что этот загрузкик позволяет реально что-то поставить без отдельного запросов к юзеру, т.е. в скрытом режиме. Если он до сих пор ничего не загрузил (следы обратного есть какие-то?), то очевидно есть какие-то проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Кроме того, никто не показал, что этот загрузкик позволяет реально что-то поставить без отдельного запросов к юзеру, т.е. в скрытом режиме.

В смысле не показали? Уже расписали CVE-, которые именно для этого и используются, для установки по-тихому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я в общем тот же вопрос озвучивал выше. Важно узнать что этот загрузчик на самом деле качал. Иначе картина неполная, это не выглядит как реальная опасность. Т.е. все это не говорит об успешности атаки ИМХО, ибо не видно профита. Типичный маковод-дизайнер подумает "ну поставилась какая-то хрень, что с того ... ничего же не пропало ... а значит Мак рулит и будет рулить!"

Дубль два (в смысле, я же выше уже сегодня писал - что) :

http://www.forbes.com/sites/andygreenberg/...for-clickfraud/

Schouwenberg says that for now, the hijacked Macs are being used for click fraud, creating Web traffic from the infected machines to boost revenue from pay-per-click and pay-per-impression advertisements. He says there’s no evidence yet that they’re being used for credit card fraud. But like any Trojan, the malware functions as a backdoor on the user’s computer, and can allow new software updates to be downloaded. ”They could easily update what they’re doing in the future,” Schouwenberg says

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Дубль два (в смысле, я же выше уже сегодня писал - что) :

Это уже давно понятно, по-моему еще со вчерашнего дня. Тут другое спрашивают, как он попадает и запускается.

Судя по тому, что пишут, это CVE-, которые, например, используют для пробива эксплойт-паки или какие-либо TDS, перенаправляющие трафик юзера туда, где ему этот CVE попытаются впарить. Короче, скомпрометированные с помощью malicious iframe сайты, по-моему главный источник заразы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это уже давно понятно, по-моему еще со вчерашнего дня. Тут другое спрашивают, как он попадает и запускается.

Судя по тому, что пишут, это CVE-, которые, например, используют для пробива эксплойт-паки или какие-либо TDS, перенаправляющие трафик юзера туда, где ему этот CVE попытаются впарить. Короче, скомпрометированные с помощью malicious iframe сайты, по-моему главный источник заразы.

А это еще 4 дня назад было сказано и вот например эту ссылку я уже тут давал

http://arstechnica.com/apple/news/2012/04/...word-needed.ars

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Dr.Web предлагает онлайн-сервис проверки для пользователей Mac на предмет инфицирования BackDoor.Flashback.39.

В качестве теста:

public.dev.drweb.com_2012_4_6_23_23_22.png

post-270-1333743666_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
maxz
Доктор Веб же в свою очередь тут категоричен - это Маки. Не пойму как они это узнали - бот на синкхоле передает только свой айдишник, без платформы и мак-адреса.
We have used passive OS fingerprinting techniques to get a rough estimation. More than 98% of incoming network packets were most likely sent from Mac OS X hosts.

Оказывается и без элементарного понимания TCP/IP вполне можно работать аналитиком. Внезапно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Так почему в алабамской деревне больше жертв чем в Купертино ?

А вдруг патчи в Эпле ТАКИ заставляют ставить? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
А вдруг патчи в Эпле ТАКИ заставляют ставить? ;)

http://support.apple.com/kb/ht1338?viewloc...mp;locale=ru_RU

Dr.Web предлагает онлайн-сервис проверки для пользователей Mac на предмет инфицирования BackDoor.Flashback.39.

В качестве теста:

public.dev.drweb.com_2012_4_6_23_23_22.png

пример работы ручками при наличии моска :rolleyes:

Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents

Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.

Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:

ls -la | grep -v ^drwx

Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.

получим вывод:

-rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding

-rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store

-rw——- 1 paul staff 0 25 фев 21:08 .Xauthority

-rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect

-rw——- 1 paul staff 10659 5 апр 18:27 .bash_history

-rw——- 1 paul staff 75 2 мар 11:44 .lesshst

-rw——- 1 paul staff 1117 5 дек 15:39 .php_history

-rw——- 1 paul staff 12288 2 мар 19:44 .swn

-rw——- 1 paul staff 12288 8 ноя 18:22 .swo

-rw——- 1 paul staff 12288 26 окт 13:36 .swp

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

-rw——- 1 root staff 5309 2 апр 11:15 .viminfo

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

Вот это исполнимый файл. (в данном случае имитация вируса)

удаляется из той же командной строки:

rm .mkeeper

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
пример работы ручками при наличии моска :rolleyes:

Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents

Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.

Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:

ls -la | grep -v ^drwx

Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.

получим вывод:

-rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding

-rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store

-rw——- 1 paul staff 0 25 фев 21:08 .Xauthority

-rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect

-rw——- 1 paul staff 10659 5 апр 18:27 .bash_history

-rw——- 1 paul staff 75 2 мар 11:44 .lesshst

-rw——- 1 paul staff 1117 5 дек 15:39 .php_history

-rw——- 1 paul staff 12288 2 мар 19:44 .swn

-rw——- 1 paul staff 12288 8 ноя 18:22 .swo

-rw——- 1 paul staff 12288 26 окт 13:36 .swp

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

-rw——- 1 root staff 5309 2 апр 11:15 .viminfo

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

Вот это исполнимый файл. (в данном случае имитация вируса)

удаляется из той же командной строки:

rm .mkeeper

"Контрреволюционные вещи Вы говорите, Филипп Филиппович..." (с) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
"Контрреволюционные вещи Вы говорите, Филипп Филиппович..." (с) :)

Внезапно.. меня позвала Дочь (отдал ей Мак как постоянному пользователю вконтакте, естественно без информации о рутовском пароле). Я чуть кофе не поперхнулся :lol:

______.jpg

post-6726-1333793924_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Я чуть кофе не поперхнулся

Все таки маки вредны для здоровья ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik

Вообще не удивительно что под "маки" начали появляться зловреды, удивительнее было бы, если бы на "маки" злоумышленники продолжали не обращать внимание.

Да, маководов меньше, но у них более толстые кошельки. Сам комп + операционка маководов = дороже, чем оборудование для винды (простенький комп + многие за винду вообще не платят). А с линуксоидов что взять?

А так как зловреды пишут для обогащения - маководы очень даже не плохая ниша для этих целей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А так как зловреды пишут для обогащения - маководы очень даже не плохая ниша для этих целей.

Ну пока слабенько начали. ОС не блочат, деньги не вымогают, хард не шифруют. Аккуратно начали я бы сказал. Хардкор отложили на потом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×