Статистика по срезу ботов Carberp из US - Аналитика - Форумы Anti-Malware.ru Перейти к содержанию
rkhunter

Статистика по срезу ботов Carberp из US

Автор rkhunter, в Аналитика

Recommended Posts

rkhunter    150

rkhunter
Опубликовано

Материал был представлен на ZDNet "Research: 80% of Carberp infected computers had antivirus software installed"

http://www.zdnet.com/research-80-of-carber...led-7000001679/

Базируется на исследовании ботнета Carberp http://www.dailysafetycheck.com/v/vspfiles...2012_Botnet.pdf

Ресерчер Jim McKenney.

На примере группы ботов из Carberp, географически расположенных в Канзасе, Миссури, Оклахоме и Небраске (всего около 600 pc) удалось получить следующую статистику.

avfail.png

1. На подавляющем большинстве (80%) ботов были установлены AV.

2. Шкала показывает соотношение по каждому такому AV, который находился в состояниях отключенный/"хакнутый" (воздействие малвари).

Синий - некоторые фичи AV были отключены (защита и обновления), Красный - основные фичи были доступны, но не работали как следует.

При этом указываются возможности версии Carberp, к которой принадлежит ресерч:

- Отключение real-time сканеров, используя идентификацию запущенных процессов

- "Crippling"/"хак" защиты (через bh апдейты)

- Отключение обновлений

...

Еще один LOL - шкала показывает пропорции версий NT, на которых работали боты.

avfail1.jpg

Ориг

In late 2011 a forensics investigation led to the access of the Command & Control operations of a modified Carberp botnet composed of 603 computers. The computers were located in Kansas, Missouri, Oklahoma and Nebraska. While this network is considerably smaller than those studied by antivirus and security vendors, the investigation still yielded interesting data and raised the possibility that considerable effort was being made to bring intelligence into asset tasking and ranking. In order to verify that automated intelligence-driven decisions was being used by the Botnet administrators, a separate OLAP server was created to perform linkage and multidimensional analysis on the data collected by the Carberp botnet. The experiment was successful; replicating the asset tasking logic and assigned confidence values found on the Command and Control platform.
  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

CatalystX    25

CatalystX
Опубликовано

Что-то я не удивлен. WinXP SP2, отключенная ав-защита. Я не удивлюсь что эти компы могут входить в ботнет TDL. Руткит TDL уже давно мертв.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Аналитика

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 ---------------------------------------------------------
       4.99.14
      ---------------------------------------------------------
       o Исправлена ошибка при подключении к удаленному компьютеру с Win11:
         в удаленную систему не передавалась база известных файлов.

       o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан
         в settings.ini или он был равен 0.
       
×