Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 69
Как бы кто не относился к ботнетам и зловредному ПО — но такая система однозначно заслуживает уважения.
Темная сторона силы во своей всей красоте — даже завораживает.
Темная сторона силы во своей всей красоте — даже завораживает.
Ага, смотришь как тебя DDOS-ят — и завораживаешься по самое нехочу
А вот это уже обозначает, что жажда материальных ценностей пересиливает жажду ценностей духовных. Вот где настоящая темная сторона.
Почему все думают, что те люди, которые разрабатывают — это те же люди, что используют этот продукт в злых целях? В 99% случаев это абсолютно разные люди. А разработкой занимаются как правило именно те, кому интересно сделать на практике что-то очень новое и крутое, и при этом ещё получить оплату за своё детище. Кто же виноват, что кроме как для корыстных целей больше нигде это так не оценивают и не оплачивают.
Вот вам пример только когда гугл стал выкупать баги под хром за большую стоимость продажи их в плохие руки, так сразу рынок по направлениям эксплойтов под браузеры хром резко упал, но не исчез и не исчезнет, ведь теперь спроса больше, цены выше и всегда те, кто заплатят больше чем предлагает гугл.
А по поводу того что часто пишут в блогах АВ уже баяны баянистые. Буткиты, пир ботнеты уже пару лет как есть, если их начинают детектить только сейчас, то это показывает разность бюджетов и заинтересованность, а может местами и квалификации сторон.
ИМХО. :)
Вот вам пример только когда гугл стал выкупать баги под хром за большую стоимость продажи их в плохие руки, так сразу рынок по направлениям эксплойтов под браузеры хром резко упал, но не исчез и не исчезнет, ведь теперь спроса больше, цены выше и всегда те, кто заплатят больше чем предлагает гугл.
А по поводу того что часто пишут в блогах АВ уже баяны баянистые. Буткиты, пир ботнеты уже пару лет как есть, если их начинают детектить только сейчас, то это показывает разность бюджетов и заинтересованность, а может местами и квалификации сторон.
ИМХО. :)
Хорошая программка. Будет аверам заделье от безделья.
А зачем системе вообще центральные ноды? Если машины обмениваются сообщениями то достаточно, чтобы любой узел сети распространил команду с цифровой подписью. Одноранговая сеть всяко безопасней для создателей.
Вдобавок к классическим услугам вроде спама и выполнения DDOS-атак, операторы этого ботнета...
Весьма странно, что прямое общение с владельцами/приближенными к владельцам ботнета воспринимается обыденно. Или спецслужбы не заинтересованы в закрытии ботнета?
> Или спецслужбы не заинтересованы в закрытии ботнета?
Конечно нет! Как же тогда Эстонию ДДоСить?
Конечно нет! Как же тогда Эстонию ДДоСить?
Шутки-то шутками, но у нас в Беларуси неугодные сайты ддосят. Вопрос, откуда у отдела К ботнет?
Эстонию досили не очень сильно. Измалевали пару сайтов премьера, министерств, посмамили и получилась «первая кибервойна». Эстонцы — знамо дело! — в первую очередь обвинили злобную Россию (и ежё понятно, понятно, что это не были армяне). И до сих пор многие пребывают в уверенности, что это было дело рук КГБ, ФСБ, ГРУ и прочих аббривиатур. Лично я уверен, что за атаками было государство, то атаки были бы атаками, а не баловством.
Житель Эстонии, я.
Житель Эстонии, я.
Очередная страшилка. И вот почему.
1) Рассказ о том как дезактивировались прочие ботнеты сводиться к тому, что находили корневой управляющий сервер и его блокировали.
2) Рассказ о том, почему этот ботнет неубиваем сводиться к тому, что уничтожение корневых серверов не приведет к гибели ботнета, потому что владелец дескать может легко управлять ботнетом и без этих серверов. т.е. подключаться у управлять сетью с любой другой машины.
Напрашивается вывод, поскольку система не привязана к конкретному коревому серверу то что может помешать взять контроль над сетью организацией, призванной бороться с самим ботнетом?
Ответ ничего.
1) Рассказ о том как дезактивировались прочие ботнеты сводиться к тому, что находили корневой управляющий сервер и его блокировали.
2) Рассказ о том, почему этот ботнет неубиваем сводиться к тому, что уничтожение корневых серверов не приведет к гибели ботнета, потому что владелец дескать может легко управлять ботнетом и без этих серверов. т.е. подключаться у управлять сетью с любой другой машины.
Напрашивается вывод, поскольку система не привязана к конкретному коревому серверу то что может помешать взять контроль над сетью организацией, призванной бороться с самим ботнетом?
Ответ ничего.
Этож до чего так дойдет что через несколько лет, глядишь, а у тебя вместо висты стоит ботнет который работает как виста и даже лучше — чтобы проблем пользователь не наблюдал :S
вот оно ПО, которое реально заинтересовано в удалении зловреда с моего компьютера! срочно нужно поставить!
А что за DDOS-атака? Distributed DOS (Disk Operating System)? Закидывание серверов командной строкой что ли?
DDoS оно называется, DDoS.
DDoS оно называется, DDoS.
интересно, скоро ли появятся зловреды использующие технологии виртуализации современного железа — ведь рабочую ОС пользователя можно виртуализировать — и никакими средствами нельзя будет обнаружить зловреда изнутри системы
Уже есть.
Недавно в IBM рассказывали, что в их исследовательской лаборатории создали вирусный «гипервизор», который позволяет виртуализовать операционную системы, как это делает какой-нибудь Xen или VmWare.
Другой вопрос, что разработка такого ПО очень сложна и тонки и требует больших инвестиций. Если интересно, могу навести справки в IBM.
Недавно в IBM рассказывали, что в их исследовательской лаборатории создали вирусный «гипервизор», который позволяет виртуализовать операционную системы, как это делает какой-нибудь Xen или VmWare.
Другой вопрос, что разработка такого ПО очень сложна и тонки и требует больших инвестиций. Если интересно, могу навести справки в IBM.
Найти по сигнатуре на харде?
Ежели до запуска ОС загружается, значит ей все равно какую ОС загружать?
Конечно, если заражалка кроссплатформенная.
Linux c MacOSью возмьет? (А то вдруг страшно стало)
Конечно, если заражалка кроссплатформенная.
Linux c MacOSью возмьет? (А то вдруг страшно стало)
> Kaspersky Lab проанализировала деятельность
> При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО
<ирония>
ну ясно, касперский мочит конкурентов
</ирония>
> При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО
<ирония>
ну ясно, касперский мочит конкурентов
</ирония>
Я восхищён.
Это круто в любом случае, даже несмотря на цели, ради которых оно используется.
Это круто в любом случае, даже несмотря на цели, ради которых оно используется.
Пост из разряда «на правах рекламы» :)
Хотя надо автору отдать должное — перелопатил три технические статьи, сделав одну популяристскую.
Только маленькая подмена понятий: если говорим об Eset и KsperskyLab — то TDL4 или уж TDSS в крайнем случае — но никак не Alureon. По сути это — синонимы, но Alureon — это классификация Microsoft, а о них в статье вообще ни слова. Поэтому фраза
Немного непонятен референс внизу статьи:
Ну а в остальном — хорошая выдержка. «Я бы купил» :)
Хотя надо автору отдать должное — перелопатил три технические статьи, сделав одну популяристскую.
Только маленькая подмена понятий: если говорим об Eset и KsperskyLab — то TDL4 или уж TDSS в крайнем случае — но никак не Alureon. По сути это — синонимы, но Alureon — это классификация Microsoft, а о них в статье вообще ни слова. Поэтому фраза
Alureon, построенного на базе руткита TDL-4звучит забавно.
Немного непонятен референс внизу статьи:
Kaspersky Lab via RRW via ArsTechnica— почему «via», они что — воюют? И первую ссылку я бы заменил на www.securelist.com/ru/analysis/208050704/TDL4_Top_Bot — у нас тут почти все русскоязычные.
Ну а в остальном — хорошая выдержка. «Я бы купил» :)
>Как и в дикой природе — среди компьютерных вирусов и прочего вредоносного ПО, всегда побеждает сильнейший.
правильнее так: среди компьютерных вирусов, прочего вредоносного ПО И АНТИВИРУСОВ всегда побеждает сильнейший.
а то у читателя может сложиться неверное впечатление, что антивирусы в этом сражении не участвуют, а потому не могут считаться проигравшими
правильнее так: среди компьютерных вирусов, прочего вредоносного ПО И АНТИВИРУСОВ всегда побеждает сильнейший.
а то у читателя может сложиться неверное впечатление, что антивирусы в этом сражении не участвуют, а потому не могут считаться проигравшими
Первая подобная система была раскрыта ещё в 2007 году и называлась Storm Bot.
Техническое описание можно тут посмотреть
Техническое описание можно тут посмотреть
dspace.library.uvic.ca:8080/bitstream/handle/1828/2689/thesis_Sudhir.pdf
Ну все же это преувеличение насчет его силы. Ботнет, заражающий MBR, банально лечится либо виндовой консолью и /fixmbr, либо установкой GRUB. Ну и далее либо переустанавливаем систему, либо лечим. Весь этот хваленый вирус можно снести напрочь за 20 минут.
Реально пациенты ботнетов — неграмотные пользователи, у которых есть устройство с выходом в сеть, установлена ОС Windows XP и нет/жалко денег на обращение к специалисту для лечения, нет навыков пользования устройством. Под эту категорию подпадают скорее всего пользователи стран 3-го мира, которых сотни миллионов и которые в ближайшие годы все подключатся к сети (ибо нетбуки дешевеют). Печальненько.
Ну а избежать таких проблем довольно легко — верифицируемая загрузка (как во всяких плейстейшенах) + ОС, которая не позволяет модифицировать свои компоненты без цифровой подписи, скрытно устанавливать ПО и скрытно запускать фоновые программы, предотвращать завершение и удаление програмы. На айфонах например нет вирусов.
Уж сколько лет я об этом говорю, и что? Все равно все пользуются дырявыми, плохо написанными, неграмотно спроектированными, с большим количеством уязвимостей ОС, видимо знак доллара замылил всем глаза. Ну не хотите (уважаемые пользователи и разработчики ПО) слушать мои умные советы — наслаждайтесь ДДОСом, спамом и вирусами, вы вполне этого заслужили.
Реально пациенты ботнетов — неграмотные пользователи, у которых есть устройство с выходом в сеть, установлена ОС Windows XP и нет/жалко денег на обращение к специалисту для лечения, нет навыков пользования устройством. Под эту категорию подпадают скорее всего пользователи стран 3-го мира, которых сотни миллионов и которые в ближайшие годы все подключатся к сети (ибо нетбуки дешевеют). Печальненько.
Ну а избежать таких проблем довольно легко — верифицируемая загрузка (как во всяких плейстейшенах) + ОС, которая не позволяет модифицировать свои компоненты без цифровой подписи, скрытно устанавливать ПО и скрытно запускать фоновые программы, предотвращать завершение и удаление програмы. На айфонах например нет вирусов.
Уж сколько лет я об этом говорю, и что? Все равно все пользуются дырявыми, плохо написанными, неграмотно спроектированными, с большим количеством уязвимостей ОС, видимо знак доллара замылил всем глаза. Ну не хотите (уважаемые пользователи и разработчики ПО) слушать мои умные советы — наслаждайтесь ДДОСом, спамом и вирусами, вы вполне этого заслужили.
Внимание вопрос как система угадает что она работает в гипервизоре?
>Ну все же это преувеличение насчет его силы. Ботнет, заражающий MBR, банально лечится либо виндовой консолью и /fixmbr, либо установкой GRUB. Ну и далее либо переустанавливаем систему, либо лечим. Весь этот хваленый вирус можно снести напрочь за 20 минут.
Да, уж, очень преувеличена сила ботнета, чтобы его убрать нужно *всего лишь* переустановить систему и может быть отформатировать диск…
Да, уж, очень преувеличена сила ботнета, чтобы его убрать нужно *всего лишь* переустановить систему и может быть отформатировать диск…
>Уж сколько лет я об этом говорю, и что?
Только говорить и способен… где ваша реализация наикрутейшей ОС без дырок?
Троль он и есть троль…
Не говоря о том, что все написанное бред полный.
Только говорить и способен… где ваша реализация наикрутейшей ОС без дырок?
Троль он и есть троль…
Не говоря о том, что все написанное бред полный.
А вот коллеги из Sophos не считают этот ботнет неуязвимым: nakedsecurity.sophos.com/2011/06/30/indestructible-rootkit-rumours-are-greatly-exaggerated-stand-down-from-high-alert/
>При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО
где можно скачать этот ботнет? )))
где можно скачать этот ботнет? )))
Сервера с базами данных находятся в здании правительства Молдовы, Барак, присылай морских котиков(можно тех что Бин Ладена порешили) и спасай Молдову, может нефть найдете. Либеральное правительство задолбало в корень квадратный.
Expert botnet pack — мы удалим все вредоносное ПО, слегка займем ваш инет канал*.
Первые 15 оптимизаций системы бесплатно.
*от 50 до 100 кб/сек, первые пять минут в день цифра утраивается.
Первые 15 оптимизаций системы бесплатно.
*от 50 до 100 кб/сек, первые пять минут в день цифра утраивается.
Ждем появления второго аналогичного ботнета, Который будет чистить конкурирующего первого. Серьезный же бизнес!
А есть в этом коде ботнета баги или фичи? Удивляюсь как весь этот код написан и протестирован.
УРА!!! Мои стати пользоваться популярностью на Хабре!!!)
чтоб защититься надо всего лишь GRUB поставить?
руткит (а точнее — буткит) инфицирует раздел главной загрузочной записи жесткого диска (MBR), ответственной за загрузку операционной системы. Это значит, что код руткита загружается еще до ОС, не говоря об анти-вирусе, что делает его нахождение и удаление еще более нетривиальной задачей
С каких это пор антивирусы разучились бороться с заражением загрузочного сектора? Еще в 90х такие выри были, старо как мир.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Один ботнет чтоб править всеми — Alureon (TDL-4)