Перейти к содержанию
AM_Bot

Обнаружена крупнейшая в мире бот-сеть из 200 000 Android устройств

Recommended Posts

AM_Bot

botnet_0_0.jpgСпециалисты компании «Доктор Веб» обнаружили самую крупную в мире бот-сеть из инфицированных мобильных устройств на базе ОС Android. На сегодняшний день известно о более чем 200 000 смартфонах, которые были заражены вредоносными программами семейства Android.SmsSend и входят в ее состав.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Странно, что новость прошла малозамеченной на форуме. Между тем Доктор заявил ни много ни мало об обнаружении крупнейшей мобильной бот сети на Андроиде. Причем есть геоспецифика:

По сведениям, собранным специалистами компании «Доктор Веб», в бот-сеть на сегодняшний день входит более 200 000 мобильных устройств, работающих под управлением Google Android, при этом наибольшая их часть (128 458) принадлежит российским пользователям, на втором месте располагается Украина с показателем 39 020 случаев заражения, на третьем — Казахстан: здесь от действий злоумышленников пострадали 21 555 пользователей. Более подробная картина распространения угроз показана на следующей иллюстрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ну вообще это уже третий топик по этой теме :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

Кто-нибудь здесь понимает методику расчета?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hEx

Ага. Троянец фигачит GET-запросы на C&C в следующем формате:

GET /getTask.php?imei=[номер IMEI]&balance=[баланс]&country=[страна]&phone=[номер телефона]&op=[оператор]&mnc=[Mobile Network Code]&mcc=[Mobile Country Code]&model=[модель]&os=[версия ОС]

Собственно, на малварном C&C эта информация сохраняется, в том числе и Mobile Network Code (код оператора сотовой связи), и Mobile Country Code (код страны). А имея к этой базе доступ, можно создать и карту заражений, и диаграмму распределения заражений по сотовым операторам ;) Вот тут http://en.wikipedia.org/wiki/Mobile_country_code можно посмотреть расшифровку и MCC, и MNC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
А имея к этой базе доступ, можно создать и карту заражений, и диаграмму распределения заражений по сотовым операторам ;)

А кто имеет к этой базе доступ и как он получен? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
А кто имеет к этой базе доступ и как он получен? :)

Это риторический вопрос? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Это риторический вопрос? ;)

Неа, хочу понять, откуда ноги растут :)

Понятно же, что меня не статья на википедии интересовала :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Неа, хочу понять, откуда ноги растут :)

Понятно же, что меня не статья на википедии интересовала :)

Держи: http://bit.ly/18jd1sf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

Спасибо, конечно, но это не дает прямого ответа на вопрос или все было как в этом случае:?

Как было подсчитано количество зараженных компьютеров?

Для подсчета размеров ботнета был использован метод sinkhole, суть которого заключается в следующем. BackDoor.Flashback.39, как и многие другие троянские программы, не содержит в себе адресов управляющих серверов, он генерирует их автоматически по специальному алгоритму в виде обычных DNS-имен веб-сайтов. Благодаря этой технологии злоумышленники могут оперативно зарегистрировать новый управляющий сервер, если антивирусные компании заблокируют существующие, поскольку они знают алгоритм, используемый троянцем для выбора таких имен. К тому же этот метод позволяет вирусописателям оперативно перераспределять нагрузку между несколькими управляющими серверами: при определенном размере ботнета один командный центр может попросту не справиться с управлением сетью. Поэтому троянец последовательно «стучится» на все командные серверы, которые может найти. Дальше дело техники: специалисты компании «Доктор Веб» проанализировали используемый BackDoor.Flashback.39 алгоритм выбора доменных имен, зарегистрировали несколько из них и установили на этих сайтах собственную управляющую программу. Первоначально существовало предположение, что часть троянцев, «отстукивающихся» на созданный специалистами «Доктор Веб» управляющий центр, является модификацией BackDoor.Flashback.39 для ОС Windows, но аналитики «Доктор Веб» достаточно быстро получили доказательства того, что это не так. Все обнаруженные антивирусной лабораторией боты работали под управлением Mac OS X.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
×