Атака жуткая. Траффик в пике доходил до 450 000 пакетов в секунду и 250 Mbps.
Одновременно были атакованы DNS сервера на Nic.ru.
Если кто видит траффик на 217.73.202.6 и 217.73.202.13 будем рады семплу бота.
ADD: Теперь Ультракомп живет у нас соответственно атака идет на 217.106.31.242.
Присылайте ботов.
18 комментариев:
вот такие вот законы бизнеса. Теперь процветают темные технологии. И как после этого заниматься бизнесом в сети что бы в один прекрасный день взять и прогореть ? (я не имею ввиду их сайт а может там инетрнет магазин какой ниубдь)
я оставил вариант защиты в той теме где вы комментарий оставляли. Пожалуйста, посмотрите.
http://www.ultracomp.ru/forum/viewtopic.php?p=193029#193029
Они пока нашли временный выход...
DDoS - альтернатива pda.ultracomp.ru
В случае недоступности основных сайтов компании для получения информации о наличии и стоимости товара используйте облегченную версию сайта для КПК и мобильных телефонов pda.ultracomp.ru. Дополнительно напоминаем телефоны офисов продаж для резервирования товара и заказа доставки: Москва: (495) 775-75-66 Санкт-Петербург: (812) 336-3777 Казань: (843) 233-0333 Пермь: (342) 215-6666 Приносим извинения за возможно причиненные неудобства.
Пик атаки 238.0 Mbps / 609.3 Kpps
1000 зомби в динамическом листе единовременно. Сайт доступен.
Эй ДДоСеры! Мы за вами придем!
Мы подключили к анализу атаки команды CERT из Финляндии и России. Urs, как с вами связаться?
А кто это мы? Сами бы лучше контакт оставили ;)
CERT-FI: 36075 это?
типичный пакет на ДНС:
45 00 00 72 44 46 00 00 32 11 23 83 d9 0a f0 f2 E..rDF..2.#.....
51 b1 05 04 cd 99 00 35 00 5e a0 fd e6 50 00 00 Q......5.^...P..
00 01 00 00 00 00 00 01 2c 6c 54 62 30 76 42 31 ........,lTb0vB1
58 43 35 4e 49 6d 66 38 6c 4d 31 71 32 51 4b 35 XC5NImf8lM1q2QK5
34 32 50 71 54 47 30 56 37 6e 70 48 34 30 37 4b 42PqTG0V7npH407K
37 53 64 4d 56 09 75 6c 74 72 61 63 6f 6d 70 02 7SdMV.ultracomp.
72 75 00 00 01 00 01 00 00 29 10 00 00 00 80 00 ru.......)......
00 00
Мы это RIPN, свяжитесь со мной, Ильин Александр. Телефоны на сайте можно взять.
Ну от телефона вы далеко находитесь, вы почту оставте я ее публиковать не буду...
У нас домашняя сеть.
Вот уже неделю идет атака с зараженных ПК на ultracomp.ru. При этом флудятся наши DNS сервера.
Вылавливаем таких зараженных по активности пакетов на ДНС.
Как эта зараза распространяется ? Как перекрыть ?
Ок похоже настал момент немного расшарить информации:
Бот представляет собой один из клонов давно известного трояна, загружающего зашифрованные модули с сайта управления и запускающего их. Модули сохраняются в системном каталоге ОС Windows с именами winXXXXX.exe, где XXXX случайные символы. Бот после запуска маскирует каталог со своим исполняемым файлом. Одной из особенностью бота является возможность размножения посредством съемных носителей. При подсоединении съемного носителя информации бот создает каталог Recycled, записывается туда под именем ctfmon.exe и прописывает в корне диска файла autorun.inf, обеспечивая себе таким образом автоматический запуск при следующем присоединении носителя к компьютеру под управлением ОС семейства Windows.
В качестве центров управления и распространения модулей для бота используются сервера в сети Интернет со следующими доменными именами
upload.edit.ro
www.bpfq02.com
www.shared-admin.com
test.bpfq02.com
www.kukutrustnet7.info
www.kukutrustnet666.info
oceaninfo.co.kr
technican.w.interia.pl
Таким образом - блокируйте доступ к этим сайтам.
Большинство антивирусов обнаруживает данный бот. Информация с сайта virustotal.com:
Antivirus Version Last Update Result
AhnLab-V3 2007.10.10.1 2007.10.10 Win-Trojan/Recycled.20480
AntiVir 7.6.0.20 2007.10.10 W32/Saltiy.S
Authentium 4.93.8 2007.10.09 W32/Sality.AI
Avast 4.7.1051.0 2007.10.09 Win32:Sality-AM
AVG 7.5.0.488 2007.10.10 Win32/Sality
BitDefender 7.2 2007.10.10 Win32.Sality.N
CAT-QuickHeal 9.00 2007.10.09 W32.Sality.S
ClamAV 0.91.2 2007.10.10 W32.Sality
DrWeb 4.44.0.09170 2007.10.10 Win32.Sector.28682
eSafe 7.0.15.0 2007.10.09 Win32.VB.aqt
eTrust-Vet 31.2.5200 2007.10.10 Win32/Sality.S
Ewido 4.0 2007.10.10 Trojan.VB.aqt
FileAdvisor 1 2007.10.10 -
Fortinet 3.11.0.0 2007.10.10 W32/Sality.AL
F-Prot 4.3.2.48 2007.10.09 W32/Sality.AI
F-Secure 6.70.13030.0 2007.10.10 Trojan.Win32.VB.aqt
Ikarus T3.1.1.12 2007.10.10 Trojan.Win32.VB.aqt
Kaspersky 7.0.0.125 2007.10.10 Trojan.Win32.VB.aqt
McAfee 5137 2007.10.09 W32/Sality.ac
Microsoft 1.2908 2007.10.10 Virus:Win32/Sality.T
NOD32v2 2582 2007.10.09 Win32/Sality.NAM
Norman 5.80.02 2007.10.09 W32/Sality.W
Panda 9.0.0.4 2007.10.10 W32/Sality.Y
Prevx1 V2 2007.10.10 Heuristic: Suspicious Self Modifying File
Rising 19.44.22.00 2007.10.10 Worm.VB.he
Sophos 4.22.0 2007.10.10 W32/Sality-AD
Sunbelt 2.2.907.0 2007.10.10 -
Symantec 10 2007.10.10 W32.Sality.X
TheHacker 6.2.6.082 2007.10.10 W32/Sality(rp).S
VBA32 3.12.2.4 2007.10.08 Win32.HLLP.Kuku.309
VirusBuster 4.3.26:9 2007.10.09 Win32.Sality.AA
Webwasher-Gateway 6.0.1 2007.10.10 Win32.Saltiy.S
Атака постоянно меняется. Вероятно они используют и другие модули. Найдете что то новое сообщите нам.
Прошу прощения, а могу ли я выложить эту Вашу инфу о вирусе-боте на форуме www.ixbt.com, в известной теме "Ультра Электроникс, вопросы и ответы"?
Разумеется, с ссылкой на источник.
Дабы народ озаботился хоть как компы почистить?
Или не стОит пока эту инфу на IXBT?
С уважением, Николай Александрович
Публикуйте
Отправить комментарий