Перейти к содержанию
AM_Bot

Европол обезвредил крупную хакерскую группировку

Recommended Posts

AM_Bot

Hackers-With-An-Ag3enda.jpgСотрудники полиции Евросоюза обезвредили крупную группировку хакеров, участники которой занимались хищениями личных данных и банковской информации. Злоумышленники смогли заразить вредоносной программой (Ramnit) около 3,2 миллиона компьютеров по всему миру.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

Угу. Забанили пару подсетей, а шуму-то, шуму... Остальные подсети как работали, так и работают. Снижение активности не наблюдается.

Ладно, щас новость сделаем...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Пришла новость от Доктора:

 

 

Ботнет Rmnet живее всех живых!

27 февраля 2015 года

Несмотря на многочисленные сообщения новостных агентств о том, что Европолом была проведена масштабная операция с целью прекращения деятельности ботнета Rmnet, специалисты компании «Доктор Веб» продолжают наблюдать активность со стороны этой бот-сети. Согласно представленным средствами массовой информации данным, сотрудники отдела по борьбе с киберпреступностью полиции Великобритании совместно со специалистами из Германии, Италии и Нидерландов пресекли деятельность нескольких крупных управляющих серверов Rmnet.

По сообщениям информационных агентств, 24 февраля 2015 года общими усилиями ряда организаций были отключены командные серверы бот-сети Rmnet. В операции принимал участие Европейский центр борьбы с киберпреступлениями Европола (Europol's European Cybercrime Centre), CERT-EU (Computer Emergency Response Team), компании Symantec, Microsoft, AnubisNetworks и другие организации из стран Европы. Так, на веб-странице Европола сообщается, что специалистам по информационной безопасности удалось перехватить порядка 300 доменов управляющих серверов, сгенерированных вредоносной программой, а агентство «Рейтерс» упоминает о том, что в ходе операции было заблокировано 7 действующих управляющих серверов. По информации компании Symantec, в результате этой операции прекращена деятельность ботнета, состоящего из 350 000 инфицированных устройств, а по данным Microsoft их общее количество может достигать 500 000.

Специалисты компании «Доктор Веб» отслеживают несколько подсетей ботнетов, созданных злоумышленниками с использованием различных версий файлового вируса Rmnet. Так, модификация, получившая наименование Win32.Rmnet.12, известна еще с сентября 2011 года. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он в состоянии выполнять поступающие от злоумышленников команды, встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.

Более поздняя модификация вируса, Win32.Rmnet.16, отличается от своей предшественницы рядом архитектурных особенностей, например, использованием цифровой подписи при выборе управляющего сервера. Вирус также способен выполнять команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ. Как и предыдущая версия вируса,Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде.

Несмотря на то, что многочисленные информационные агентства рапортуют об успехе операции по блокированию деятельности ботнета Rmnet, специалисты компании «Доктор Веб» не отмечают снижения активности бот-сетей, за поведением которых вирусная лаборатория ведет непрерывное наблюдение. Всего на сегодняшний день специалистам «Доктор Веб» известно как минимум 12 подсетей Rmnet, использующих алгоритм генерации доменов управляющих серверов, и как минимум две подсети Win32.Rmnet.12, не использующие автоматическую генерацию доменов (из первой категории специалистами Symantec заблокирована только одна подсеть с seed 79159c10).

Так, в двух подсетях ботнета Win32.Rmnet.12 среднесуточная активность по-прежнему составляет порядка 250 000 – 270 000 инфицированных узлов&

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ. Как и предыдущая версия вируса,Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде.

 

Интересно, список антивирусов включает в себя Dr.Web или его внезапно забыли? И в таком определении вирус именно заражает имеющиеся файлы, а не распаковывает из своего тела и загружает новые?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47
Специалисты компании «Доктор Веб» отслеживают несколько подсетей ботнетов

 

УГу, они одни? Не верю. 

А как такое возможно? Что за антивирусы пропустили заразу? Заражение невозможно в глобальном масштабе, если установлены и верно функционируют антивирусы Касперского, Symantec, McAfee, например. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Заражение невозможно в глобальном масштабе, если установлены и верно функционируют антивирусы Касперского, Symantec, McAfee, например. 

 

Что вы подразумеваете под "верно функционируют"? У перечисленных вами самозащита только у Касперского приличная, остальные выносятся без труда. Посмотрите результаты наших тестов на самозащиту. Поэтому если вредонос знает какие процесс выносить и знает как лучше это делать, то в чем проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47
 

Что вы подразумеваете под "верно функционируют"? (1)

(2) У перечисленных вами самозащита только у Касперского приличная, остальные выносятся без труда. Посмотрите результаты наших тестов на самозащиту. Поэтому если вредонос знает какие процесс выносить и знает как лучше это делать, то в чем проблема?

 

(1) Нормально установились в систему, бывает всякое.

(2) Ну для начала в систему нужно проникнуть, что очень проблематично учитывая какие агрессивные меры стали использовать вендоры.

По поводу самозащиты вы что-то запамятовали, ещё у Norton, одна из самых, атак ни одной не пропустил (так это был ваш тест в 2011 году, он и в прошлых был на коне уверен, что ситуация ещё улучшилась). А ещё вспомним про защиту от атак через эксплойты в собственном коде и здесь Norton лидер вместе с ESET (правда второй слабоват по другим аспектам самозащиты), тест проводили Av-TEST, они проверяли, как антивирус работает с DEP и ASLR. Поэтому не вижу с Norton проблем.

Про McAfee не уверен, действительно. 

 

Заражение невозможно в глобальном масштабе, если установлены и верно функционируют антивирусы Касперского, Symantec, McAfee, например. 

 

Что вы подразумеваете под "верно функционируют"? У перечисленных вами самозащита только у Касперского приличная, остальные выносятся без труда. Посмотрите результаты наших тестов на самозащиту. Поэтому если вредонос знает какие процесс выносить и знает как лучше это делать, то в чем проблема?

 

Т.е. вы думаете, что слабая самозащита всему виной? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Какое-то непонимание ситуации. Рамнит живет в Индии и у ее соседей. Живет обычно на компах без антивирусов. Заражает через флешки.

Призываю не превращать опять тему в обсуждение Симантека, иначе снова все придет к религиозному спору вида "да, вот тут у него не очень, зато остальные модули лучше всех".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47
иначе снова все придет к религиозному спору вида "да, вот тут у него не очень, зато остальные модули лучше всех". 

 

Сами разводите болото. 

Живет обычно на компах без антивирусов. Заражает через флешки.

 

Прекрасно, пруфы есть, что без антивирусов? Или это чисто гуманитарное соображение мол в индии не так распространены антивирусы. Тут конкретика нужна. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Т.е. вы думаете, что слабая самозащита всему виной? 

 

Если вредонос выносит антивирус, то виновата самозащита. Она для этого и нужна, что если даже проникновение случится (а это далеко не нулевая вероятность, это тысячи самплов в сутки, которые могут быть пропущены), то самозащита не позволит нейтрализовать защиту. И тогда, несмотря на заражение, у антивируса будет шанс обнаружить активного вредоноса и вычистить систему после обновления баз.

 

Кстати, да Symantec неплох если смотреть вот этот тест http://www.anti-malware.ru/firewall_test_outbound_protection_2013

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Или это чисто гуманитарное соображение мол в индии не так распространены антивирусы. Тут конкретика нужна. 

 

Там в Индии "совсем другие ребята". Всякие там K7, Quick Heal, Net Protector, eScan, Tech Guard  и прочие поделки. Понятно, что это все пробивается на раз-два-три. Можно нагуглить статистику по долям вендоров в Индии, но специфика рынка и так понятна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Прекрасно, пруфы есть, что без антивирусов? Или это чисто гуманитарное соображение мол в индии не так распространены антивирусы. Тут конкретика нужна

 

Обычно, пруфы основаны на данных неких облаков (KSN), статистики, собираемой утилитами и отсылаемой в облако (CureIt) и всего такого аналогичного. Помимо этого можно базироваться на здравом смысле: те версии, которые образуют наиболее большие подсети ботнета являются хорошо-детектируемыми (от 40 детектов на VT) - детектируется инсталлер и зараженные объекты.

Утверждение, что в Индии низкая культура информационной безопасности (устаревшие ОС, отсутствие антивирусов, использование "левых" антивирусов) по отдельности легко подтверждается пруфами на любой многопубликующий вирлаб.

По очевидным причинам, мне проще всего и правильнее ссылаться на ЛК.

https://securelist.ru/files/2014/08/Kaspersky_Lab_KSN_report_windows_usage_ru.pdf

Из этого документа можно увидеть следующее:

1. Невероятное количество устаревших ос в индии

2. Дикий детект каспера на заразу на флешках (в индии флешки очень распространены)

 

Информацию по инсталлам антивирусов, по топу малвари в индии и прочему - точно также можно снабдить при желании пруфами с паблика.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

 Рамнит живет в Индии и у ее соседей. 

 

Ну, практически. Если посмотреть стату, то сейчас на первом месте - Вьетнам. Кроме Индии еще Индонезия, Филлипины, дальше (в порядке убывания) Египет, Марокко, Бангладеш, Пакистан и Турция. Потом - Украина, Тайланд, Тунис и Россия. 

 

 

Заражает через флешки.

 

Некоторые модификации еще очень неплохо пишут в MBR, а свои файлы хранят в пошифрованном виде в конце диска :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Новости ДрВеба про эту модификацию да, читал в свое время. Единственное что меня несколько смущает: по некоторым данным есть и другие каналы распространения рамнита (помимо флешек и инфицированных ехе/html/etc). Насколько серьезны те другие каналы распространения?

Мне оценить это сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .

Новости ДрВеба про эту модификацию да, читал в свое время. Единственное что меня несколько смущает: по некоторым данным есть и другие каналы распространения рамнита (помимо флешек и инфицированных ехе/html/etc). Насколько серьезны те другие каналы распространения?

Мне оценить это сложно.

 

Если честно, я крайний раз эти семплы в 2012-м, кажется, видел. Не помню уже. Основные каналы, насколько мой склероз мне не изменяет, запись на съемные носители в %RECYCLER% и инжект в веб-страницы VBScript. Еще один способ, если ничего не путаю, заражение .exe методом создания доп. секции в конце файла и изменения точки входа. 

 

 

 

З.Ы. Ставьте Windows 7 и не используйте Internet Explorer:)

 

Покупайте Mac и вообще забудьте, что такое файловые вирусы :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Основные каналы, насколько мой склероз мне не изменяет, запись на съемные носители в %RECYCLER% и инжект в веб-страницы VBScript. Еще один способ, если ничего не путаю, заражение .exe методом создания доп. секции в конце файла и изменения точки входа.

 

 

Все так. Про эти методы и говорю. Просто уточнил есть ли другие мощные каналы распространения (вдруг я что ушами прохлопал), а раз нет, то и хорошо, ничего значит не прохлопал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Темы о тестах фаерволов выделены в отдельную тему http://www.anti-malware.ru/forum/index.php?showtopic=29885#entry183113 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×