Перейти к содержанию
rkhunter

Статистика по срезу ботов Carberp из US

Recommended Posts

rkhunter

Материал был представлен на ZDNet "Research: 80% of Carberp infected computers had antivirus software installed"

http://www.zdnet.com/research-80-of-carber...led-7000001679/

Базируется на исследовании ботнета Carberp http://www.dailysafetycheck.com/v/vspfiles...2012_Botnet.pdf

Ресерчер Jim McKenney.

На примере группы ботов из Carberp, географически расположенных в Канзасе, Миссури, Оклахоме и Небраске (всего около 600 pc) удалось получить следующую статистику.

avfail.png

1. На подавляющем большинстве (80%) ботов были установлены AV.

2. Шкала показывает соотношение по каждому такому AV, который находился в состояниях отключенный/"хакнутый" (воздействие малвари).

Синий - некоторые фичи AV были отключены (защита и обновления), Красный - основные фичи были доступны, но не работали как следует.

При этом указываются возможности версии Carberp, к которой принадлежит ресерч:

- Отключение real-time сканеров, используя идентификацию запущенных процессов

- "Crippling"/"хак" защиты (через bh апдейты)

- Отключение обновлений

...

Еще один LOL - шкала показывает пропорции версий NT, на которых работали боты.

avfail1.jpg

Ориг

In late 2011 a forensics investigation led to the access of the Command & Control operations of a modified Carberp botnet composed of 603 computers. The computers were located in Kansas, Missouri, Oklahoma and Nebraska. While this network is considerably smaller than those studied by antivirus and security vendors, the investigation still yielded interesting data and raised the possibility that considerable effort was being made to bring intelligence into asset tasking and ranking. In order to verify that automated intelligence-driven decisions was being used by the Botnet administrators, a separate OLAP server was created to perform linkage and multidimensional analysis on the data collected by the Carberp botnet. The experiment was successful; replicating the asset tasking logic and assigned confidence values found on the Command and Control platform.
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Что-то я не удивлен. WinXP SP2, отключенная ав-защита. Я не удивлюсь что эти компы могут входить в ботнет TDL. Руткит TDL уже давно мертв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×