BOTHUNTERS.PL bezpieczeństwo, trojan, botnet, wirus i łamanie haseł z serwisu nasza-klasa, hacking i cracking. Ciemna Strona Mocy u nas w świetle reflektorów.

Archiwum (tag: botnet)

• Starsze wpisy
• Nowsze wpisy

• Użytkownicy Apple są samotni albo częściej skaczą z kwiatka na kwiatek. Malware się nie myli

  Data dodania:

  07 5.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Do takich wniosków należałoby dojść po obserwacji zainfekowanych stron przez znany Koobface Gang. Doszli oni najpewniej do takich wniosków na podstawie dogłębnej analizy dlatego, że użytkowników systemów Macowych kierują do swoich programów partnerskich nastawionych na zysk z reklamowania serwisów randkowych! Kod stron jest bardzo prosty i kieruje użytkowników, których zmienna User-Agent ustawiana przez przeglądarkę zawiera słowo ‘Mac’. Widać zarabiać na użytkownikach można na różne sposoby i nie jest to pierwszy raz gdy Koobface Gang próbuje swoich sił w programach partnerskich. Oczywiście taki test może być zwyczajną  próba oszacowania ilu trafionych użytkowników korzysta z takich, a nie innych przeglądarek (i przy okazji dorobienia na tymże). Tak czy siak bardzo mnie to rozbawiło i muszę zadać to pytanie do czytelników: Kto z korzystających z komputerów firmy Apple skorzystał z serwisów randkowych? Chociaż zaraz. Czemu pytam. Po prostu od razu przekieruję ;]

  Źródło: http://ddanchev.blogspot.com/2010/02/how-koobface-gang-monetizes-mac-os-x.html

  Brak komentarzy

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Botnet Pushdo zautomatyzował rozpoznawanie testu CAPTCHA dla usługi live.com

  Data dodania:

  17 4.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Wszystkim znany jest test CAPTCHA, w którym rozpoznajemy znaki z zagmatwanego obrazka i przepisujemy je udowadniając, że jesteśmy ludźmi, nie botami. Takie zabezpieczenia mają na celu utrudnienie automatycznego zakładania dużej liczby kont przez roboty, które następnie wykorzystują tak założone konta do wysyłania spamu. Specyficzną odmianą testu CAPTCHA jest wersja audio czyli taka, w której przesłuchujemy wysłany do nas kawałek ścieżki dźwiękowej i wpisujemy do formularza usłyszane znaki. Część serwisów posiada oprócz zwykłego graficznego testu dodatkową wersję audio. Tak jest w przypadku na przykład serwisu live.com firmy Microsoft. Twórcy botnetu Pushdo znani ze swoich niekonwencjonalnych metod wykorzystują zautomatyzowane rozpoznawanie dźwiękowej wersji w celu zakładania kont właśnie na serwisie live.com. Serwis live.com jest w wielu serwerach pocztowych na tzw. białej liście czyli wiadomości przychodzące z jego trzewi są traktowane jako zaufane. Idealna właściwość do wysyłania spamu :] Zazwyczaj przykłady zostały rozpoznawane po maksymalnie drugiej próbie co wskazuje na zautomatyzowane działanie albo półniesłyszących;] pracujących chińczyków. Jest to jedna z pierwszych prób zautomatyzowanych ataków na testy dźwiękowe i jak widać całkiem skuteczna.

  Źródło: http://cyberinsecure.com/pushdo-spam-botnet-pierces-microsoft-live-through-audio-captcha

  Komentarzy: 2

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Pierwsze śliwki robaczywki czyli ataki wykorzystujące ostatni błąd w Javie już są

  Data dodania:

  15 4.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Jak się okazało nie trzeba było długo czekać na pierwsze doniesienia o wykorzystywaniu błędu w silniku Javy. Do kodu strony Songlyrics.com został dodany mały prezent, wykorzystujący odkrytą ostatnio lukę w Javie. Jedynym problemem było to, że w momencie gdy badacze chcieli dobrać się do witryny assetmancomjobs_com, która hostowała złośliwy plik, tego już tam nie było. Albo więc plik został usunięty przez właściciela witryny albo ktoś robił testy i nie był zadowolony z wyników lub też może właśnie przytłoczyła go liczba zainfekowanych pozytywnie komputerów :] Tak czy owak czekanie z aktualizacją w takich przypadkach nie popłaca.

  Źródło: http://cyberinsecure.com/critical-java-vulnerability-exploited-on-songlyricscom/

  Komentarz: 1

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Testowe uruchomienie dystrybucji złośliwego oprogramowania z użyciem protokołu BitTorrent

  Data dodania:

  12 4.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Opisywany ostatnio przypadek rozwija swoje skrzydła w przeróżnej postaci. Pomiędzy standardowymi mailami, dostałem kilka dosłownie sztuk – zakładam, że testowo – wersji zawierającej ten sam tekst co poprzednio ale zupełnie inny załącznik. Mianowicie nie jest to archiwum .zip, a plik open.exe.torrent, który jest prawdziwym plikiem obsługującym protokoł BitTorrent. Kolejna metoda na próbę ominięcia filtrów i alternatywne sposoby na zarażenie. Pomysłowość jak zawsze mi się podobała i tak samo jest tym razem. Po uruchomieniu pliku .torrent pobieramy plik open.exe, który w raporcie VirusTotal jest rozpoznawany przez 17 z 39 silników antywirusowych. Postanowiłem na 24 godziny zostawić udostępniany plik, który zajmuje około 180 KB aby zobaczyć ile danych wyślę do innych klientów. Wynik testu zakończył się wartością 7.2 MB danych czyli pomogłem w wysłaniu około 40 sztuk pliku open.exe. Oczywiście zakładam, że po drodze nie było wielu innych udostępniających i w całości plik został pobrany ode mnie co jest jasna sprawa uproszczeniem. Ja pobierając natomiast plik otrzymałem go z 200.85.205.88 (oraz raz z 99.69.167.25 uTorrent  2.0.0.0 ale to być może był legalny klient, gdyż nie pojawiał się za każdą próbą). Adres IP 200.85.205.88 i jego opis nie wskazuje na nic interesującego (pewnie zarażony klient). W każdym razie nowa metoda, która co prawda jest zapewne uruchomiona testowo bardzo mi się podoba. Właśnie dlatego, że ktoś po drugiej stronie mocy nieźle kombinuje i próbuje na wszystkie sposoby zaszkodzić użytkownikom sieci :] Oczywiście jak zawsze, zalecam – nie klikać, nie pobierać, nie uruchamiać…

  Whois  200.85.205.88: Czytaj dalej »

  Komentarzy: 11

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Zamiast świątecznych jajek otrzymałem informacje o blokadzie konta: account notification

  Data dodania:

  05 4.10

  Kategorie:

  analizy, newsy

  Autor:

  Borys Łącki

  Spodziewałem się więcej jajek w mailach, w których złośliwe oprogramowanie robi sobie ze mnie jaja myśląc, że uruchomię “pocztówkę” przysłaną od miliarda moich botnetowych przyjaciół. A tu zostałem zalany spamem o temacie:  moja_domena.com account notification. I rozumiem,  że miał taki mail zadziałać w moje uczucie troski o bezpieczeństwo tak ważnego tematu jakim jest domena, ale w święta?! W święta powinienem otrzymać jajko i zajączka wyskakującego z pięknym .exe. Uwzględniając jednak fakt, że otrzymałem tych maili sporo i dla kilku domen, skuteczność zapewne była jak zawsze na odpowiednio zadowalającym poziomie :]

  Różne pola From, różne nagłówki X-mailer, różne adresy IP, a treść wiadomości wygląda tak: Czytaj dalej »

  Komentarzy: 5

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Kiedyś bazgrało się markerem po ścianach, a dziś po domenach

  Data dodania:

  15 3.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Jak się chciało komuś gorąco dopiec to wiele lat temu wystarczył porządny marker i konkretna wiązanka pozdrawiająca pozostawiona na ścianie pod domem ofiary. Teraz czasy się zmieniły, wszystko nabrało rozpędu 2.0, więc i pozdrowienia przesyła się w zupełnie inny sposób. Jak miało to już miejsce, Ci źli – czyli twórcy złośliwego oprogramowania głównie odpowiedzialnego za potężniejsze sieci botnet – pozdrawiają, oczywiście z negatywnym przesłaniem – swoich ulubieńców czyli tych, którzy ich nękają. Tym razem po dup…, po nosie dostało się firmie FireEye, która zadała bobu cyberprzestępcom aktywnie przerywając działanie sieci botnet Mega-D oraz Pushdo, co zapewne dołożyło trochę nadgodzin ich twórcom. Dodatkowo pozdrowiony został Brian Krebs, który aktywnie uczestniczy w śledztwach przeciwko cyberprzestępcom.

  Czytaj dalej »

  Brak komentarzy

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Ponad połowa całego spamu wysyłana z jednego botnetu

  Data dodania:

  14 3.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Botnet Rustock znany od wielu miesięcy z tego, że utrzymuje się na pozycji pierwszej sieci botnet o największej liczbę wysyłanych wiadomości typu SPAM dotarł do miejsca gdzie przekroczył barierę połowy całego wysyłanego reklamowego bagna. Ostatnie tygodnie wytężonej pracy i udało się podbić stawkę dość wysoko. Gdybym potrafił tak trafnie przewidywać, którym firmom skoczą zyski z takim przyśpieszeniem zapewne zostałbym milionerem :] Przez ostatni rok komunikacja tej sieci botnet delikatnie ewaluowała w stronę bardziej zaawansowana, jednakże nadal są to zwykłe zapytania WWW. Jak widać prosta metoda wcale nie musi być nieskuteczna. Ostatnie tygodnie to ewidentne zaangażowanie botnetu w wysyłanie reklam wyłącznie apteki niebieskich tabletek czyli największej internetowej drukarni proszków Canadian Pharmacy. Sam botnet wykorzystuje fast-fluxową technologię do dynamicznej zmiany przypisanych do domen adresów IP (z różnych sieci) oraz kuloodporne hostingi przez co analiza i walka z ustrojstwem nie należy do łatwych. Ciekawe kiedy Rustock zostanie monopolistą i wykończy konkurencję ;]

  Źródło: http://www.m86security.com/labs/i/Rustock-rages-on,trace.1243~.asp

  Brak komentarzy

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Serwery firmy Ubisoft zaatakowane zmasowanym prezentem

  Data dodania:

  13 3.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Ci którzy kiedykolwiek zagrali choć raz na Wii w grę Rayman Raving Rabbid firmy Ubisoft na pewno zrozumieli czym jest prawdziwa zabawa. Ci natomiast, którym dane było grać w tę grę w stanie odpowiednim do miejsca w liczbie graczy na raz czterech (pozdrawiam :) – na pewno dozgonną wdzięcznością będą obdarzać firmę Ubisoft za ten wspaniały tytuł. Niestety z uwagi na fakt, że nie wszystkie posunięcia firmy są tak wspaniałe – po ostatniej decyzji otrzymali od fanów prezent w postaci ataków DDoS. Decyzja o kontrowersyjnym mechanizmie DRM wprowadzonym do najnowszych gier takich jak Assassin’s Creed II czy Silent Hunter 5, który to mechanizm umożliwia grę wyłącznie jeśli jesteśmy podłączenie do serwerów uwierzytelniających naszą oryginalność, ewidentnie się nie spodobała. W dużym uproszczeniu – nie można zapisać stanu gry (sejw:) jeśli nie jesteśmy podłączeni. Oczywiście wszystko to po to aby zapobiec kradzieżom oprogramowania :] Szkoda tylko, że w niecałe 24 godziny po wydaniu Silenta 5 zabezpieczenia udało się obejść grupie Skid-Row. Takie życie. W prezencie od graczy dla graczy, około 5% użytkowników serwerów online nie mogło skorzystać z usługi przez kilka godzin. Firma Ubisoft oficjalnie przeprosiła za zajście na swoim koncie w usłudze Twitter.

  Źródło: http://cyberinsecure.com/ubisoft-servers-hit-by-ddos-attack-over-the-weekend/

  Brak komentarzy

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Krótko mogą wszyscy, a długo nieliczni czyli cała prawda o botnetach przejmowaniu

  Data dodania:

  12 3.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Przez ostatnie dwa lata widywaliśmy kilka spektakularnych przykładów, w których badacze po dokładnej analizie komunikacji sieci botnet i odkryciu jej słabych punktów (czasami logicznych czy projektowych) doprowadzali do częściowego lub całkowitego przejęcia takiej sieci zainfekowanych systemów komputerowych. Niestety zazwyczaj takie próby mimo bardzo interesujących prawd, z których możemy się wiele nauczyć, kończyły się powrotem dzieci do ich pierworodziców.

  W ostatnich kilku miesiącach warte odnotowania były dwie pozytywne próby przejęcia kontroli – zakończone powodzeniem. Na początku stycznia tego roku botnet Lethic pozbył się kontroli rodzicielskiej na miesiąc i jeden dzień. W tym czasie czujki spamerskie nie wyłapały ani jednej wiadomości wysyłanej przez tę sieć. Niestety 11 stego lutego wszystko wróciło do normy. Aktualnie botnet odpowiada za 3.2 % wysyłanych wiadomości typu spam.

  Podobnie w listopadzie roku poprzedniego udało się wyłączyć silniejszy botnet o nazwie Mega-D, jednak w krótkim czasie powstał z umarłych i wrócił do swojego spamerskiego życia. Aktualnie zajmuje miejsce drugie zabierając 13.6 % tortu spamerskich botnetów, jednakże jeszcze kilka tygodni temu wartość ta wynosiła ponad 20 %. Co ciekawe botnet ten był już wyłączony dwa razy, jednak jak widać nie jest łatwo utrzymać przejęty botnet w ryzach gdyż tak czy siak finalnie udaje się twórcom odzyskać kontrolę nad siecią. Może należałoby się powoli zastanowić nad jasnymi dyrektywami, które pozwalałyby na oczyszczanie zarażonych komputerów ale jak wiemy z uwagi na problem natury prawnej nie jest to takie łatwe. Może w takim razie wynająć cyberprzestępców do tego, by po przejęciu jakiegoś botnetu oddać go im w ich ręce, a oni za odpowiednią opłatą oczyszczą zupełnie nielegalnie botnet z siebie samego ;]

  Źródło: http://www.m86security.com/labs/i/Lethic-is-Back-in-the-Game,trace.1241~.asp, http://www.m86security.com/labs/traceitem.asp?article=1239

  Brak komentarzy

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Ujęto właścicieli botnetu, do którego podłączyło się 12 milionów unikalnych adresów IP

  Data dodania:

  05 3.10

  Kategorie:

  newsy

  Autor:

  Borys Łącki

  Walka z cyberterroryzmem rozgorzała na całego. Mimo przewagi ciemnej strony mocy, takie akcje jak ta przywracają wiarę w cyberrycerzy na białych cyberkoniach. Amerykańskie służby niczym amerykańscy naukowcy we współpracy z hiszpańską cyber inkwizycją ujęli 3 osoby odpowiedzialne za jedną z największych sieci botnet odkrytych dotychczas. Botnet mariposa (z hiszpańskiego – motyl) został odkryty w maju 2009 roku przez kanadyjską firmę Defence Intelligence. Złośliwe oprogramowanie do dnia dzisiejszego rozrosło się do ponad 200 różnych wersji. Czytaj dalej »

  Brak komentarzy

  • Wykop ten wpis
  • Dodaj na OSnews.pl

• Starsze wpisy
• Nowsze wpisy

Wspiera nas:

http://www.logicaltrust.net

Audyty bezpieczeństwa | Testy penetracyjne

Znajdziesz nas na blip.pl bothunterspl.blip.pl

• Zareklamuj swój botnet!

• Popularne posty

  • Nielegalny Windows i usuwanie komunikatu o pirackiej wersji
  • Marta Krupa i jej rozbierane zdjęcia
  • Wyciek prawie 10 000 haseł z portali onet.pl, wp.pl, interia.pl, o2.pl
  • Za pomocą specjalnej aplikacji możesz odczytać SMSy swojej partnerki
  • Użyj botnetu do łamania haseł
  • Bezpieczeństwo serwisu Nasza-klasa.pl, błąd XSS, robaki internetowe i porno
  • Fałszywy torrent wysyła fałszywy plik, który otwiera fałszywą stronę, która zaleca zainstalować fałszywy kodek

• Ostatnie wpisy

  • Nigeryjczyk skazany na 12 lat więzienia za scam i kradzież ponad miliona dolarów
  • Niemcy uruchamiają rządowy program ochrony przed sieciami botnet
  • Drastyczny spadek wysyłanego spamu przez botnet Pushdo/Cutwail bo uderzeniu w serwery zarządzające
  • Darmowe seks wideo z pięknymi dziewczynami na Facebooku
  • Złośliwe oprogramowanie wykorzystuje nazwy legalnych aplikacji Wireshark i VirusTotal
  • Cameron Diaz, Tiger Woods, Jay-Z nie żyją! Tragiczny wypadek samochodowy.
  • Erotyczne zdjęcia mojej żony

• Tagi

  apple bezpieczeństwo botnet bot roast canadian pharmacy captcha conficker credit card DDoS deface dns Facebook fake antivirus fake codec fastflux fbi fraud gang google honeypot inżynieria społeczna konferencja linux malware mega-d patronat phishing ransomware raport RBN scam security spam sql srizbi statystyki storm symantec tools trojan virus windows www wyrok xss

• Ostatnie komentarze

  • bla bla bla o Niemcy uruchamiają rządowy program ochrony przed sieciami botnet
  • Ccc o Atak DDoS o rozpiętości 50 Gb/s na serwery firmy DNS Made Easy
  • guzik o Nigeryjczyk skazany na 12 lat więzienia za scam i kradzież ponad miliona dolarów
  • Borys Łącki o Erotyczne zdjęcia mojej żony
  • GiM o Erotyczne zdjęcia mojej żony

• Autorzy

  • Borys Łącki
  • Patryk Dawidziuk
  • Patryk Krawaczyński
  • Tadeusz Kowalczyk

• Blogi

  • Blog Code42
  • Blog Łukasza Bromirskiego (pl)
  • Michał Sobiegraj Blog (en)
  • NFSec – Linux Security (pl)
  • Niebezpiecznik
  • Piotr Konieczny (pl)
  • Security Fix (en)
  • Security News (pl)
  • The Dark Visitor (en)
  • Vagla.pl Prawo i Internet (pl)
  • Wampiryczny blog (pl)
  • Wojciech Pawlikowski Security

• Linki

  • fuzzing.eu (pl)
  • it.apero.pl – tutaj wszystkie imprezy IT

• Archiwa

  • Wrzesień 2010 (4)
  • Sierpień 2010 (12)
  • Lipiec 2010 (18)
  • Czerwiec 2010 (27)
  • Maj 2010 (17)
  • Kwiecień 2010 (12)
  • Marzec 2010 (17)
  • Luty 2010 (10)
  • Styczeń 2010 (22)
  • Grudzień 2009 (20)
  • Listopad 2009 (24)
  • Październik 2009 (6)
  • Wrzesień 2009 (3)
  • Sierpień 2009 (13)
  • Lipiec 2009 (14)
  • Czerwiec 2009 (18)
  • Maj 2009 (17)
  • Kwiecień 2009 (17)
  • Marzec 2009 (20)
  • Luty 2009 (18)
  • Styczeń 2009 (15)
  • Grudzień 2008 (10)
  • Listopad 2008 (12)
  • Październik 2008 (26)
  • Wrzesień 2008 (22)
  • Sierpień 2008 (25)
  • Lipiec 2008 (22)
  • Czerwiec 2008 (19)
  • Maj 2008 (32)
  • Kwiecień 2008 (20)
  • Marzec 2008 (12)
  • Luty 2008 (4)
  • Styczeń 2008 (4)