Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.
( Read more... )
червь периодически пытается получить инструкцию "что делать дальше" из интернета. с разных доменов всяких. умные ребята из F-Secure (как минимум) зарегистрировали пару таких "волшебных" доменов на себя - и просто считали сколько червей к ним обращается за инструкциями.
Насчитали миллионы. Они могли (теоретически) отправить команду самоуничтожения - выслать в качестве задания свою же совбственную тулу для лечения.
Не могли они отправить никаких команд. Это тоже достаточно забавно. В каком-то блоге, по-моему, у Symantec читал их удивления, почему еще ботнет не украли, а так же рассказы о том, что, мол, этика им не позволяет что-либо делать с ботнетом. Вранье это все. Не этика им не позволяет, а технические возможности (auth). Максимум, что они могут - это вот так регистрировать свободные домены и дро... (ну в общем, наблюдать) на количество соединений. Не более. В этом смысле очень аккуратно относитесь к заявлениям АВ-компаний. Как я уже выше сказал, они очень умело говорят там, где надо, а так же, не менее хорошо, обходят (замалчивают или говорят "по-другому"), там, "где не надо".
Вот копия удаленного материала, если кому надо ;))
История с Kido продолжается развиваться и мне не хотелось бы повторять уже всем давно известную информацию - наши коллеги из других антивирусных компаний регулярно продолжают публиковать различные подробности, касающиеся оценок количества зараженных машин, способах лечения, механизмах распространения, списках доменов, версий и теорий. Все это, для тех кто следит за ситуацией - прекрасно известно. Однако, налицо существование в природе вопроса - на который почему-то до сих пор не прозвучало внятного ответа. Вопрос базируется именно на обьемах и количестве разной информации, которая уже опубликована и словах антивирусных компаний о том, что они следят за развитием ботнета.
Вопрос звучит примерно так - почему, если про Kido, его ботнет и принципы его работы известно так много - он все еще продолжает существовать и в любой момент может начать функционировать так как угодно его создателям , принимать от них команды и возможно начнет новую, еще более значительную эпидемиюВ данной
( ... )
Reply
червь периодически пытается получить инструкцию "что делать дальше" из интернета. с разных доменов всяких.
умные ребята из F-Secure (как минимум) зарегистрировали пару таких "волшебных" доменов на себя - и просто считали сколько червей к ним обращается за инструкциями.
Насчитали миллионы.
Они могли (теоретически) отправить команду самоуничтожения - выслать в качестве задания свою же совбственную тулу для лечения.
хер там был
Reply
С удовольствием почитал бы о таком опыте.
Reply
Reply
а чуваки-то не дурни, хорошую сеть сделали
там что ли public ключ зашит и всё проверяется? великолепно!
блин, надо бросать все силы на расшифровку, а то же кабздец будет.
арендовать все мощности ec2, запустить там какой-нибудь брут-форс взлом на пару дней и за несколько (десятков) килобаксов получить ключ к ботнету.
или всё не так просто?
Reply
Reply
Reply
Надо было сохранить...
Вместо как оно работает, добавил какие-то рассуждения: http://secureblog.info/articles/406.html
Reply
Reply
Reply
История с Kido продолжается развиваться и мне не хотелось бы повторять уже всем давно известную информацию - наши коллеги из других антивирусных компаний регулярно продолжают публиковать различные подробности, касающиеся оценок количества зараженных машин, способах лечения, механизмах распространения, списках доменов, версий и теорий. Все это, для тех кто следит за ситуацией - прекрасно известно.
Однако, налицо существование в природе вопроса - на который почему-то до сих пор не прозвучало внятного ответа. Вопрос базируется именно на обьемах и количестве разной информации, которая уже опубликована и словах антивирусных компаний о том, что они следят за развитием ботнета.
Вопрос звучит примерно так - почему, если про Kido, его ботнет и принципы его работы известно так много - он все еще продолжает существовать и в любой момент может начать функционировать так как угодно его создателям , принимать от них команды и возможно начнет новую, еще более значительную эпидемиюВ данной ( ... )
Reply
Еще здесь было: http://www.viruslist.com/ru/weblog?weblogid=207758762
"Текст временно снять с публикации." Не снят, а снять:)). Какое распоряжение пришло вебмастеру, то и написал :).
Интересно, почему...
Reply
Reply
Reply
"полезный вирус" - тоже вирус
не по пацански получается
и бабло на этом не заработаешь
Reply
Reply
Leave a comment