пятница, 28 сентября 2007 г.

Атака на ultracomp.ru

Атака жуткая. Траффик в пике доходил до 450 000 пакетов в секунду и 250 Mbps.
Одновременно были атакованы DNS сервера на Nic.ru.

Если кто видит траффик на 217.73.202.6 и 217.73.202.13 будем рады семплу бота.

ADD: Теперь Ультракомп живет у нас соответственно атака идет на 217.106.31.242.

Присылайте ботов.

18 комментариев:

Dark.iNiTro комментирует...

вот такие вот законы бизнеса. Теперь процветают темные технологии. И как после этого заниматься бизнесом в сети что бы в один прекрасный день взять и прогореть ? (я не имею ввиду их сайт а может там инетрнет магазин какой ниубдь)

Анонимный комментирует...

я оставил вариант защиты в той теме где вы комментарий оставляли. Пожалуйста, посмотрите.
http://www.ultracomp.ru/forum/viewtopic.php?p=193029#193029

Анонимный комментирует...

Они пока нашли временный выход...
DDoS - альтернатива pda.ultracomp.ru
В случае недоступности основных сайтов компании для получения информации о наличии и стоимости товара используйте облегченную версию сайта для КПК и мобильных телефонов pda.ultracomp.ru. Дополнительно напоминаем телефоны офисов продаж для резервирования товара и заказа доставки: Москва: (495) 775-75-66 Санкт-Петербург: (812) 336-3777 Казань: (843) 233-0333 Пермь: (342) 215-6666 Приносим извинения за возможно причиненные неудобства.

Unknown комментирует...

Пик атаки 238.0 Mbps / 609.3 Kpps
1000 зомби в динамическом листе единовременно. Сайт доступен.
Эй ДДоСеры! Мы за вами придем!

Анонимный комментирует...

Мы подключили к анализу атаки команды CERT из Финляндии и России. Urs, как с вами связаться?

Unknown комментирует...

А кто это мы? Сами бы лучше контакт оставили ;)

Unknown комментирует...

CERT-FI: 36075 это?

Unknown комментирует...

типичный пакет на ДНС:

45 00 00 72 44 46 00 00 32 11 23 83 d9 0a f0 f2 E..rDF..2.#.....
51 b1 05 04 cd 99 00 35 00 5e a0 fd e6 50 00 00 Q......5.^...P..
00 01 00 00 00 00 00 01 2c 6c 54 62 30 76 42 31 ........,lTb0vB1
58 43 35 4e 49 6d 66 38 6c 4d 31 71 32 51 4b 35 XC5NImf8lM1q2QK5
34 32 50 71 54 47 30 56 37 6e 70 48 34 30 37 4b 42PqTG0V7npH407K
37 53 64 4d 56 09 75 6c 74 72 61 63 6f 6d 70 02 7SdMV.ultracomp.
72 75 00 00 01 00 01 00 00 29 10 00 00 00 80 00 ru.......)......
00 00

Анонимный комментирует...

Мы это RIPN, свяжитесь со мной, Ильин Александр. Телефоны на сайте можно взять.

Unknown комментирует...
Этот комментарий был удален автором.
Unknown комментирует...

Ну от телефона вы далеко находитесь, вы почту оставте я ее публиковать не буду...

Unknown комментирует...
Этот комментарий был удален автором.
Unknown комментирует...
Этот комментарий был удален автором.
Unknown комментирует...
Этот комментарий был удален автором.
Анонимный комментирует...

У нас домашняя сеть.
Вот уже неделю идет атака с зараженных ПК на ultracomp.ru. При этом флудятся наши DNS сервера.
Вылавливаем таких зараженных по активности пакетов на ДНС.
Как эта зараза распространяется ? Как перекрыть ?

Unknown комментирует...

Ок похоже настал момент немного расшарить информации:

Бот представляет собой один из клонов давно известного трояна, загружающего зашифрованные модули с сайта управления и запускающего их. Модули сохраняются в системном каталоге ОС Windows с именами winXXXXX.exe, где XXXX случайные символы. Бот после запуска маскирует каталог со своим исполняемым файлом. Одной из особенностью бота является возможность размножения посредством съемных носителей. При подсоединении съемного носителя информации бот создает каталог Recycled, записывается туда под именем ctfmon.exe и прописывает в корне диска файла autorun.inf, обеспечивая себе таким образом автоматический запуск при следующем присоединении носителя к компьютеру под управлением ОС семейства Windows.
В качестве центров управления и распространения модулей для бота используются сервера в сети Интернет со следующими доменными именами

upload.edit.ro
www.bpfq02.com
www.shared-admin.com
test.bpfq02.com
www.kukutrustnet7.info
www.kukutrustnet666.info
oceaninfo.co.kr
technican.w.interia.pl

Таким образом - блокируйте доступ к этим сайтам.

Большинство антивирусов обнаруживает данный бот. Информация с сайта virustotal.com:

Antivirus Version Last Update Result
AhnLab-V3 2007.10.10.1 2007.10.10 Win-Trojan/Recycled.20480
AntiVir 7.6.0.20 2007.10.10 W32/Saltiy.S
Authentium 4.93.8 2007.10.09 W32/Sality.AI
Avast 4.7.1051.0 2007.10.09 Win32:Sality-AM
AVG 7.5.0.488 2007.10.10 Win32/Sality
BitDefender 7.2 2007.10.10 Win32.Sality.N
CAT-QuickHeal 9.00 2007.10.09 W32.Sality.S
ClamAV 0.91.2 2007.10.10 W32.Sality
DrWeb 4.44.0.09170 2007.10.10 Win32.Sector.28682
eSafe 7.0.15.0 2007.10.09 Win32.VB.aqt
eTrust-Vet 31.2.5200 2007.10.10 Win32/Sality.S
Ewido 4.0 2007.10.10 Trojan.VB.aqt
FileAdvisor 1 2007.10.10 -
Fortinet 3.11.0.0 2007.10.10 W32/Sality.AL
F-Prot 4.3.2.48 2007.10.09 W32/Sality.AI
F-Secure 6.70.13030.0 2007.10.10 Trojan.Win32.VB.aqt
Ikarus T3.1.1.12 2007.10.10 Trojan.Win32.VB.aqt
Kaspersky 7.0.0.125 2007.10.10 Trojan.Win32.VB.aqt
McAfee 5137 2007.10.09 W32/Sality.ac
Microsoft 1.2908 2007.10.10 Virus:Win32/Sality.T
NOD32v2 2582 2007.10.09 Win32/Sality.NAM
Norman 5.80.02 2007.10.09 W32/Sality.W
Panda 9.0.0.4 2007.10.10 W32/Sality.Y
Prevx1 V2 2007.10.10 Heuristic: Suspicious Self Modifying File
Rising 19.44.22.00 2007.10.10 Worm.VB.he
Sophos 4.22.0 2007.10.10 W32/Sality-AD
Sunbelt 2.2.907.0 2007.10.10 -
Symantec 10 2007.10.10 W32.Sality.X
TheHacker 6.2.6.082 2007.10.10 W32/Sality(rp).S
VBA32 3.12.2.4 2007.10.08 Win32.HLLP.Kuku.309
VirusBuster 4.3.26:9 2007.10.09 Win32.Sality.AA
Webwasher-Gateway 6.0.1 2007.10.10 Win32.Saltiy.S

Атака постоянно меняется. Вероятно они используют и другие модули. Найдете что то новое сообщите нам.

Анонимный комментирует...

Прошу прощения, а могу ли я выложить эту Вашу инфу о вирусе-боте на форуме www.ixbt.com, в известной теме "Ультра Электроникс, вопросы и ответы"?

Разумеется, с ссылкой на источник.

Дабы народ озаботился хоть как компы почистить?

Или не стОит пока эту инфу на IXBT?

С уважением, Николай Александрович

Unknown комментирует...

Публикуйте