Европол обезвредил крупную хакерскую группировку

[AM_Bot 48]

Сотрудники полиции Евросоюза обезвредили крупную группировку хакеров, участники которой занимались хищениями личных данных и банковской информации. Злоумышленники смогли заразить вредоносной программой (Ramnit) около 3,2 миллиона компьютеров по всему миру.

подробнее

[B . 90]

Угу. Забанили пару подсетей, а шуму-то, шуму... Остальные подсети как работали, так и работают. Снижение активности не наблюдается.

Ладно, щас новость сделаем...

[Сергей Ильин 1538]

Пришла новость от Доктора:

 

 

Ботнет Rmnet живее всех живых!

27 февраля 2015 года

Несмотря на многочисленные сообщения новостных агентств о том, что Европолом была проведена масштабная операция с целью прекращения деятельности ботнета Rmnet, специалисты компании «Доктор Веб» продолжают наблюдать активность со стороны этой бот-сети. Согласно представленным средствами массовой информации данным, сотрудники отдела по борьбе с киберпреступностью полиции Великобритании совместно со специалистами из Германии, Италии и Нидерландов пресекли деятельность нескольких крупных управляющих серверов Rmnet.

По сообщениям информационных агентств, 24 февраля 2015 года общими усилиями ряда организаций были отключены командные серверы бот-сети Rmnet. В операции принимал участие Европейский центр борьбы с киберпреступлениями Европола (Europol's European Cybercrime Centre), CERT-EU (Computer Emergency Response Team), компании Symantec, Microsoft, AnubisNetworks и другие организации из стран Европы. Так, на веб-странице Европола сообщается, что специалистам по информационной безопасности удалось перехватить порядка 300 доменов управляющих серверов, сгенерированных вредоносной программой, а агентство «Рейтерс» упоминает о том, что в ходе операции было заблокировано 7 действующих управляющих серверов. По информации компании Symantec, в результате этой операции прекращена деятельность ботнета, состоящего из 350 000 инфицированных устройств, а по данным Microsoft их общее количество может достигать 500 000.

Специалисты компании «Доктор Веб» отслеживают несколько подсетей ботнетов, созданных злоумышленниками с использованием различных версий файлового вируса Rmnet. Так, модификация, получившая наименование Win32.Rmnet.12, известна еще с сентября 2011 года. Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению. Он в состоянии выполнять поступающие от злоумышленников команды, встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (это теоретически позволяет киберпреступникам получать доступ к банковской информации жертвы), а также красть файлы cookies и пароли от наиболее популярных FTP-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP и некоторых других.

Более поздняя модификация вируса, Win32.Rmnet.16, отличается от своей предшественницы рядом архитектурных особенностей, например, использованием цифровой подписи при выборе управляющего сервера. Вирус также способен выполнять команды на скачивание и запуск произвольного файла, обновление вируса, создание и отправку злоумышленникам снимка экрана и даже команду уничтожения операционной системы. Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ. Как и предыдущая версия вируса,Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде.

Несмотря на то, что многочисленные информационные агентства рапортуют об успехе операции по блокированию деятельности ботнета Rmnet, специалисты компании «Доктор Веб» не отмечают снижения активности бот-сетей, за поведением которых вирусная лаборатория ведет непрерывное наблюдение. Всего на сегодняшний день специалистам «Доктор Веб» известно как минимум 12 подсетей Rmnet, использующих алгоритм генерации доменов управляющих серверов, и как минимум две подсети Win32.Rmnet.12, не использующие автоматическую генерацию доменов (из первой категории специалистами Symantec заблокирована только одна подсеть с seed 79159c10).

Так, в двух подсетях ботнета Win32.Rmnet.12 среднесуточная активность по-прежнему составляет порядка 250 000 – 270 000 инфицированных узлов&

[Виктор Коляденко 6]

Кроме того, модуль бэкдора обладает функционалом, позволяющим «убивать» процессы большинства наиболее распространенных антивирусных программ. Как и предыдущая версия вируса,Win32.Rmnet.16 умеет выполнять запись в загрузочную область диска (MBR), а также сохранять свои файлы в конце диска в зашифрованном виде.

 

Интересно, список антивирусов включает в себя Dr.Web или его внезапно забыли? И в таком определении вирус именно заражает имеющиеся файлы, а не распаковывает из своего тела и загружает новые?

[Threat#47 8]

Специалисты компании «Доктор Веб» отслеживают несколько подсетей ботнетов

 

УГу, они одни? Не верю. 

А как такое возможно? Что за антивирусы пропустили заразу? Заражение невозможно в глобальном масштабе, если установлены и верно функционируют антивирусы Касперского, Symantec, McAfee, например. 

[Сергей Ильин 1538]

Заражение невозможно в глобальном масштабе, если установлены и верно функционируют антивирусы Касперского, Symantec, McAfee, например. 

 

Что вы подразумеваете под "верно функционируют"? У перечисленных вами самозащита только у Касперского приличная, остальные выносятся без труда. Посмотрите результаты наших тестов на самозащиту. Поэтому если вредонос знает какие процесс выносить и знает как лучше это делать, то в чем проблема?

[Threat#47 8]

 

Что вы подразумеваете под "верно функционируют"? (1)

(2) У перечисленных вами самозащита только у Касперского приличная, остальные выносятся без труда. Посмотрите результаты наших тестов на самозащиту. Поэтому если вредонос знает какие процесс выносить и знает как лучше это делать, то в чем проблема?

 

(1) Нормально установились в систему, бывает всякое.

(2) Ну для начала в систему нужно проникнуть, что очень проблематично учитывая какие агрессивные меры стали использовать вендоры.

По поводу самозащиты вы что-то запамятовали, ещё у Norton, одна из самых, атак ни одной не пропустил (так это был ваш тест в 2011 году, он и в прошлых был на коне уверен, что ситуация ещё улучшилась). А ещё вспомним про защиту от атак через эксплойты в собственном коде и здесь Norton лидер вместе с ESET (правда второй слабоват по другим аспектам самозащиты), тест проводили Av-TEST, они проверяли, как антивирус работает с DEP и ASLR. Поэтому не вижу с Norton проблем.

Про McAfee не уверен, действительно. 

 

Заражение невозможно в глобальном масштабе, если установлены и верно функционируют антивирусы Касперского, Symantec, McAfee, например. 

 

Что вы подразумеваете под "верно функционируют"? У перечисленных вами самозащита только у Касперского приличная, остальные выносятся без труда. Посмотрите результаты наших тестов на самозащиту. Поэтому если вредонос знает какие процесс выносить и знает как лучше это делать, то в чем проблема?

 

Т.е. вы думаете, что слабая самозащита всему виной? 

[priv8v 960]

Какое-то непонимание ситуации. Рамнит живет в Индии и у ее соседей. Живет обычно на компах без антивирусов. Заражает через флешки.

Призываю не превращать опять тему в обсуждение Симантека, иначе снова все придет к религиозному спору вида "да, вот тут у него не очень, зато остальные модули лучше всех".

[Threat#47 8]

иначе снова все придет к религиозному спору вида "да, вот тут у него не очень, зато остальные модули лучше всех". 

 

Сами разводите болото. 

Живет обычно на компах без антивирусов. Заражает через флешки.

 

Прекрасно, пруфы есть, что без антивирусов? Или это чисто гуманитарное соображение мол в индии не так распространены антивирусы. Тут конкретика нужна. 

[Сергей Ильин 1538]

Т.е. вы думаете, что слабая самозащита всему виной? 

 

Если вредонос выносит антивирус, то виновата самозащита. Она для этого и нужна, что если даже проникновение случится (а это далеко не нулевая вероятность, это тысячи самплов в сутки, которые могут быть пропущены), то самозащита не позволит нейтрализовать защиту. И тогда, несмотря на заражение, у антивируса будет шанс обнаружить активного вредоноса и вычистить систему после обновления баз.

 

Кстати, да Symantec неплох если смотреть вот этот тест http://www.anti-malware.ru/firewall_test_outbound_protection_2013

[Сергей Ильин 1538]

Или это чисто гуманитарное соображение мол в индии не так распространены антивирусы. Тут конкретика нужна. 

 

Там в Индии "совсем другие ребята". Всякие там K7, Quick Heal, Net Protector, eScan, Tech Guard  и прочие поделки. Понятно, что это все пробивается на раз-два-три. Можно нагуглить статистику по долям вендоров в Индии, но специфика рынка и так понятна.

[priv8v 960]

Прекрасно, пруфы есть, что без антивирусов? Или это чисто гуманитарное соображение мол в индии не так распространены антивирусы. Тут конкретика нужна

 

Обычно, пруфы основаны на данных неких облаков (KSN), статистики, собираемой утилитами и отсылаемой в облако (CureIt) и всего такого аналогичного. Помимо этого можно базироваться на здравом смысле: те версии, которые образуют наиболее большие подсети ботнета являются хорошо-детектируемыми (от 40 детектов на VT) - детектируется инсталлер и зараженные объекты.

Утверждение, что в Индии низкая культура информационной безопасности (устаревшие ОС, отсутствие антивирусов, использование "левых" антивирусов) по отдельности легко подтверждается пруфами на любой многопубликующий вирлаб.

По очевидным причинам, мне проще всего и правильнее ссылаться на ЛК.

https://securelist.ru/files/2014/08/Kaspersky_Lab_KSN_report_windows_usage_ru.pdf

Из этого документа можно увидеть следующее:

1. Невероятное количество устаревших ос в индии

2. Дикий детект каспера на заразу на флешках (в индии флешки очень распространены)

 

Информацию по инсталлам антивирусов, по топу малвари в индии и прочему - точно также можно снабдить при желании пруфами с паблика.

[B . 90]

 Рамнит живет в Индии и у ее соседей. 

 

Ну, практически. Если посмотреть стату, то сейчас на первом месте - Вьетнам. Кроме Индии еще Индонезия, Филлипины, дальше (в порядке убывания) Египет, Марокко, Бангладеш, Пакистан и Турция. Потом - Украина, Тайланд, Тунис и Россия. 

 

 

Заражает через флешки.

 

Некоторые модификации еще очень неплохо пишут в MBR, а свои файлы хранят в пошифрованном виде в конце диска

[priv8v 960]

Новости ДрВеба про эту модификацию да, читал в свое время. Единственное что меня несколько смущает: по некоторым данным есть и другие каналы распространения рамнита (помимо флешек и инфицированных ехе/html/etc). Насколько серьезны те другие каналы распространения?

Мне оценить это сложно.

[B . 90]

Новости ДрВеба про эту модификацию да, читал в свое время. Единственное что меня несколько смущает: по некоторым данным есть и другие каналы распространения рамнита (помимо флешек и инфицированных ехе/html/etc). Насколько серьезны те другие каналы распространения?

Мне оценить это сложно.

 

Если честно, я крайний раз эти семплы в 2012-м, кажется, видел. Не помню уже. Основные каналы, насколько мой склероз мне не изменяет, запись на съемные носители в %RECYCLER% и инжект в веб-страницы VBScript. Еще один способ, если ничего не путаю, заражение .exe методом создания доп. секции в конце файла и изменения точки входа. 

 

 

 

З.Ы. Ставьте Windows 7 и не используйте Internet Explorer:)

 

Покупайте Mac и вообще забудьте, что такое файловые вирусы

[priv8v 960]

Основные каналы, насколько мой склероз мне не изменяет, запись на съемные носители в %RECYCLER% и инжект в веб-страницы VBScript. Еще один способ, если ничего не путаю, заражение .exe методом создания доп. секции в конце файла и изменения точки входа.

 

 

Все так. Про эти методы и говорю. Просто уточнил есть ли другие мощные каналы распространения (вдруг я что ушами прохлопал), а раз нет, то и хорошо, ничего значит не прохлопал

[Сергей Ильин 1538]

Темы о тестах фаерволов выделены в отдельную тему http://www.anti-malware.ru/forum/index.php?showtopic=29885#entry183113