Антивирусная индустрия нагнута

[sporaw]

Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.

Comments

[anonymous]

А может вы знаете как избавиться от этой последней напасти?

[kosiakk]

это вполне себе известно

червь периодически пытается получить инструкцию "что делать дальше" из интернета. с разных доменов всяких.
умные ребята из F-Secure (как минимум) зарегистрировали пару таких "волшебных" доменов на себя - и просто считали сколько червей к ним обращается за инструкциями.

Насчитали миллионы.
Они могли (теоретически) отправить команду самоуничтожения - выслать в качестве задания свою же совбственную тулу для лечения.

хер там был

[anonymous]

Мне кажется, в корпоративной среде это непросто.
С удовольствием почитал бы о таком опыте.

[sporaw]

Не могли они отправить никаких команд. Это тоже достаточно забавно. В каком-то блоге, по-моему, у Symantec читал их удивления, почему еще ботнет не украли, а так же рассказы о том, что, мол, этика им не позволяет что-либо делать с ботнетом. Вранье это все. Не этика им не позволяет, а технические возможности (auth). Максимум, что они могут - это вот так регистрировать свободные домены и дро... (ну в общем, наблюдать) на количество соединений. Не более. В этом смысле очень аккуратно относитесь к заявлениям АВ-компаний. Как я уже выше сказал, они очень умело говорят там, где надо, а так же, не менее хорошо, обходят (замалчивают или говорят "по-другому"), там, "где не надо".

[kosiakk]

да ладно!? =)
а чуваки-то не дурни, хорошую сеть сделали

там что ли public ключ зашит и всё проверяется? великолепно!
блин, надо бросать все силы на расшифровку, а то же кабздец будет.

арендовать все мощности ec2, запустить там какой-нибудь брут-форс взлом на пару дней и за несколько (десятков) килобаксов получить ключ к ботнету.

или всё не так просто?

[anonymous]

А.Гостев подробно описал: http://secureblog.info/articles/405.html

[sporaw]

:)

[anonymous]

Куда статью дели :).
Надо было сохранить...
Вместо как оно работает, добавил какие-то рассуждения: http://secureblog.info/articles/406.html

[sporaw]

Рассуждения - полнейший бред от и до. Во всех отношениях.

[sporaw]

А текст... Ну может в компании по голове не погладили. Могу изложить его здесь.

[sporaw]

Вот копия удаленного материала, если кому надо ;))

История с Kido продолжается развиваться и мне не хотелось бы повторять уже всем давно известную информацию - наши коллеги из других антивирусных компаний регулярно продолжают публиковать различные подробности, касающиеся оценок количества зараженных машин, способах лечения, механизмах распространения, списках доменов, версий и теорий. Все это, для тех кто следит за ситуацией - прекрасно известно.
Однако, налицо существование в природе вопроса - на который почему-то до сих пор не прозвучало внятного ответа. Вопрос базируется именно на обьемах и количестве разной информации, которая уже опубликована и словах антивирусных компаний о том, что они следят за развитием ботнета.

Вопрос звучит примерно так - почему, если про Kido, его ботнет и принципы его работы известно так много - он все еще продолжает существовать и в любой момент может начать функционировать так как угодно его создателям , принимать от них команды и возможно начнет новую, еще более значительную эпидемиюВ данной

[anonymous]

Оно.
Еще здесь было: http://www.viruslist.com/ru/weblog?weblogid=207758762
"Текст временно снять с публикации." Не снят, а снять:)). Какое распоряжение пришло вебмастеру, то и написал :).
Интересно, почему...

[shamany]

там ассиметрика?

[sporaw]

Да, асимметрия.

[acekievua]

так это ж противоправное действие :)
"полезный вирус" - тоже вирус
не по пацански получается
и бабло на этом не заработаешь

[sporaw]

Такой возможности [в данном случае] не существует. Это вранье.