Статистика по срезу ботов Carberp из US - Аналитика - Форумы Anti-Malware.ru Перейти к содержанию
rkhunter

Статистика по срезу ботов Carberp из US

Автор rkhunter, в Аналитика

Recommended Posts

rkhunter    150

rkhunter
Опубликовано

Материал был представлен на ZDNet "Research: 80% of Carberp infected computers had antivirus software installed"

http://www.zdnet.com/research-80-of-carber...led-7000001679/

Базируется на исследовании ботнета Carberp http://www.dailysafetycheck.com/v/vspfiles...2012_Botnet.pdf

Ресерчер Jim McKenney.

На примере группы ботов из Carberp, географически расположенных в Канзасе, Миссури, Оклахоме и Небраске (всего около 600 pc) удалось получить следующую статистику.

avfail.png

1. На подавляющем большинстве (80%) ботов были установлены AV.

2. Шкала показывает соотношение по каждому такому AV, который находился в состояниях отключенный/"хакнутый" (воздействие малвари).

Синий - некоторые фичи AV были отключены (защита и обновления), Красный - основные фичи были доступны, но не работали как следует.

При этом указываются возможности версии Carberp, к которой принадлежит ресерч:

- Отключение real-time сканеров, используя идентификацию запущенных процессов

- "Crippling"/"хак" защиты (через bh апдейты)

- Отключение обновлений

...

Еще один LOL - шкала показывает пропорции версий NT, на которых работали боты.

avfail1.jpg

Ориг

In late 2011 a forensics investigation led to the access of the Command & Control operations of a modified Carberp botnet composed of 603 computers. The computers were located in Kansas, Missouri, Oklahoma and Nebraska. While this network is considerably smaller than those studied by antivirus and security vendors, the investigation still yielded interesting data and raised the possibility that considerable effort was being made to bring intelligence into asset tasking and ranking. In order to verify that automated intelligence-driven decisions was being used by the Botnet administrators, a separate OLAP server was created to perform linkage and multidimensional analysis on the data collected by the Carberp botnet. The experiment was successful; replicating the asset tasking logic and assigned confidence values found on the Command and Control platform.
  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

CatalystX    25

CatalystX
Опубликовано

Что-то я не удивлен. WinXP SP2, отключенная ав-защита. Я не удивлюсь что эти компы могут входить в ботнет TDL. Руткит TDL уже давно мертв.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Аналитика

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Да, с этим файлом проблема, починю.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×