Перейти к содержанию
rkhunter

Статистика по срезу ботов Carberp из US

Recommended Posts

rkhunter

Материал был представлен на ZDNet "Research: 80% of Carberp infected computers had antivirus software installed"

http://www.zdnet.com/research-80-of-carber...led-7000001679/

Базируется на исследовании ботнета Carberp http://www.dailysafetycheck.com/v/vspfiles...2012_Botnet.pdf

Ресерчер Jim McKenney.

На примере группы ботов из Carberp, географически расположенных в Канзасе, Миссури, Оклахоме и Небраске (всего около 600 pc) удалось получить следующую статистику.

avfail.png

1. На подавляющем большинстве (80%) ботов были установлены AV.

2. Шкала показывает соотношение по каждому такому AV, который находился в состояниях отключенный/"хакнутый" (воздействие малвари).

Синий - некоторые фичи AV были отключены (защита и обновления), Красный - основные фичи были доступны, но не работали как следует.

При этом указываются возможности версии Carberp, к которой принадлежит ресерч:

- Отключение real-time сканеров, используя идентификацию запущенных процессов

- "Crippling"/"хак" защиты (через bh апдейты)

- Отключение обновлений

...

Еще один LOL - шкала показывает пропорции версий NT, на которых работали боты.

avfail1.jpg

Ориг

In late 2011 a forensics investigation led to the access of the Command & Control operations of a modified Carberp botnet composed of 603 computers. The computers were located in Kansas, Missouri, Oklahoma and Nebraska. While this network is considerably smaller than those studied by antivirus and security vendors, the investigation still yielded interesting data and raised the possibility that considerable effort was being made to bring intelligence into asset tasking and ranking. In order to verify that automated intelligence-driven decisions was being used by the Botnet administrators, a separate OLAP server was created to perform linkage and multidimensional analysis on the data collected by the Carberp botnet. The experiment was successful; replicating the asset tasking logic and assigned confidence values found on the Command and Control platform.
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Что-то я не удивлен. WinXP SP2, отключенная ав-защита. Я не удивлюсь что эти компы могут входить в ботнет TDL. Руткит TDL уже давно мертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В Win7 dns лог работать таки не будет, увы там он дырявый и почти все проходит мимо него, в win 8.0 в ограниченном виде будет работать.
      В Win11 лог отключается сразу, глюка как с 10-кой нет, что радует все-таки что-то исправляют.
    • Ego Dekker
      Домашние антивирусы были обновлены до версии 14.2.23.
    • demkd
      повторюсь, отключение сбора информации не происходит до перезагрузки из-за криворукости microsoft, врочем нагрузка низкая и можно и не отключать вообще, запущенный браузер иногда пишет на диск раз в 20 больше за тоже время и это если ему оперативки вполне хватает.
    • santy
      ясно, будет рекомендовать выполнить regt 40 сразу после создания образа автозапуска.
    • PR55.RP55
      Так не пойдёт. Люди бывает начинают лечение - выполняют первый скрипт куда включена команда regt 39 ( скрипт помогает ...)  и на этом всё. Если тем много - оператор может забыть о regt 40 Бывает  народ неделями не перезагружает PC ( не говоря о серверах ) Бывает народ занимается самолечением, или выполняет чужие скрипты, или "свои" скрипты из своей предыдущей\старой темы. т.е. параллельно с применением  regt 39 - должна создаваться задача которая по прошествии 2-3-х суток это дело прекратит.    
×