Comments | securityblogru: Rustok использует MS08-067

ex_ivlad in securityblogru

Rustok использует MS08-067

May 12, 2009 15:20

Согласно анонсу Cisco Intellishield и по некоторым другим сведениям, Rustock стал использовать уязвимость MS08-067 (ту самую, на волне которой произошла эпидемия Kido) для самораспространения.

( wireshark )

windows, botnet

Comments 7

_zhecka_ May 12 2009, 13:48:06 UTC

думаю что не факт. просто использует распространение по сети. IMHO конечно

ex_ivlad May 13 2009, 08:39:16 UTC

сигнатура срабатывает.

_zhecka_ May 13 2009, 08:40:26 UTC

ну эксплоит то был в паблике. чо уж там ?

ex_ivlad May 13 2009, 08:52:50 UTC

я о том, что заключение, что русток пользуется 08-067 для распространения, было сделано на основании того, что срабатывала соответствующая сигнатура, а не просто потому, что он пытался распространять себя, распихивая по сетевым шарам.

ojiga May 13 2009, 01:44:05 UTC

а когда новая верия вышла??
я думал русток сдох давно и изгнил

ex_ivlad May 13 2009, 05:59:21 UTC

Насколько я понимаю, вынос McColo его сильно потрепал, но хозяевам удалось (через P2P? временно создав ASку в другом месте? не знаю) собрать вместе значительную часть ботнета. Я где-то видел отчет, что Rustock по прежнему вносит наибольшую долю в мировую рассылку - что-то около 30%.

ex_ivlad May 13 2009, 08:54:39 UTC

Вот, кстати: http://www.marshal8e6.com/TRACE/spam_statistics.asp