Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 60
В апреле этого года ботам Zeus/Zbot была выдана команда под названием «KOS» — «Kill Operating System» в результате выполнения которой около 100,000 пользователей Windows увидели синий экран.
А если бы у этих 100 тысяч пользователей стояла программа Disk Write Copy с включенной защитой диска С, то они бы просто перезагрузились и продолжили работу без следа бота.
А если бы у этих 100 тысяч пользователей стояла программа Disk Write Copy с включенной защитой диска С, то они бы просто перезагрузились и продолжили работу без следа бота.
«переводили деньги со счетов пока жертвы перезагружали свои компьютеры. По мнению других экспертов, контрольные сервера Zeus'а были взломаны другой группой хакеров или владельцев другого ботнета, которая таким способом решила избавиться от конкурентов» — А может все было прозаичнее, отдали не ту команду. Ну или факир был пьян ;)
не, крайне маловероятны оба случая. Ботнет из 100к машин крупный, как правило общее управление идет группами, а КОС идет неявно (под 2-3 паролями, «секретным» урлом, etc), на всякий случай. Никому же не хочется свой биз случайно уничтожить.
А почему кильнули ботнет — без идей пока, может позже соображу (конкуренты, слив бабла — это туфта, конкуренты и так зашибись работают и киляют down-soft при установке своего, насчет 2-го — у всех уже по 5 ноутбуков, мобилы и т.д, контоль счета не катит)
А почему кильнули ботнет — без идей пока, может позже соображу (конкуренты, слив бабла — это туфта, конкуренты и так зашибись работают и киляют down-soft при установке своего, насчет 2-го — у всех уже по 5 ноутбуков, мобилы и т.д, контоль счета не катит)
Можно предположить две возможности, либо за задницу кого то взяли и были уничтожены следы, либо сеть увели и прежние владельцы его уничтожили. Еще есть вероятность того что не какой это не убивец системы, а просто ошибка (заюзали что нить недокументированное, и после обновления от мс все слетело). Но поддерживаю мнение что это полный бред насчет счетов и конкурентов, увести ботнет сама по себе задача сильно сложнее чем создать его, и уничтожать его после этого просто тупость.
KOS идет без каких либо доп-ных паролей (
наверное этот ботнет создали сами интернет провайдеры, а потом выключили все компы ну чтоб каналы там подразгрузить, профилактику провести:)
Читайте внимательнее, господа: «В АПРЕЛЕ этого года… „
Ну вот так кто-то из владельцев ботнета просто приколол на первое апреля, а потом поправить забыли =)
Ну вот так кто-то из владельцев ботнета просто приколол на первое апреля, а потом поправить забыли =)
Разве не понятно? Вышел новый патчик к вирусу и для его применения надо было перезагрузить компьютер :)
долбоебизм. просто увели ботнет, или решили отомстить убив его. вы бы еще консилиум собрали на тему а нахера, да день херовый был может у ботовода. какой идиот это отпостил на хабюер, позновательно и интересно просто писец. вы бы еще новсоти с прогшлого года выложили.
Ежели увели — денег бы на нем срубили, зачем убивать то курицу несущую.
Увели, а СТАРЫЕ хозяева его кильнули — что-б не досталось тем кто увел. Теперь понятно?
Ну если увели — старые хозяева уже доступ к нему не имеют => ваша теория 99% неверна. Управление у ботнета централизованное. О управлении с нескольких админок — не слышал такого никогда.
Если не слышали — это не значит что такого не может быть.
А какой в них смысл?
И если доп. админка есть => бот дополнительно к ней стучится и управление при перехвате одного командного центра не критично. Написали патч, обновили со доп.админке и управление не потеряно.
Но держать 2 админку — это морока, надо найти второго безабузного прова, нагрузка вообщем увеличивается в 2 раза (ибо бот только сам отстукивается, забирает задания и т.д), бот чаще палится из-за дополнительных отстуков.
Вообщем не нужна доп.админка
И если доп. админка есть => бот дополнительно к ней стучится и управление при перехвате одного командного центра не критично. Написали патч, обновили со доп.админке и управление не потеряно.
Но держать 2 админку — это морока, надо найти второго безабузного прова, нагрузка вообщем увеличивается в 2 раза (ибо бот только сам отстукивается, забирает задания и т.д), бот чаще палится из-за дополнительных отстуков.
Вообщем не нужна доп.админка
Нет, зачем так — вторая админка за 7-мя замками и служит только для полного удаления ботнета — очень даже нормально.
Дык вы уровень функционирования ботнета не понимаете, из админки то до ботов никак не достучаться. Бот только лишь сам ВСЕГДА стучится в положенное время и забирает соотвествующие ему id задания/обновляется/что-то еще делает. В итоге дубль админки отпадает, один хрен куда-то стучаться надо, зачем дублить и создавать проблемы себе излишние. Итак мороки у технарей ботнета хватает.
Ну а смотрите — из второй «админки» есть возможность поставить скрытое задание к ботам, а первая адмнка сделана так что то задание не видно.
Тем более как написано что 100000 компов — это немного больше чем мои торрент трекеры.
Тем более как написано что 100000 компов — это немного больше чем мои торрент трекеры.
Я хотел написать — немного больше чем на каждом из моих торрент трекеров на ПХП — 75000 пиров при анонсировании полчаса.
Не, тут основная фишка не в том, что это особо трудно техически сделать, а в нахождении 2 гарантированно-безабузного хостера под ботнет. Это очень сложно сейчас. Каналы у таких провов крайне ненадежны, медленные и т.п, основное физ.расположение — китай, филиппины, чутка вроде африка.
+ бот должен издавать как можно меньше внешних подключений, меньше палиться будет. И так насколько я знаю естественная убыль ботов (хорошо написанных и постоянно обновляемых) 2 года назад было ~30% в месяц, зачем еще эту цифирю увеличивать => уменьшать доход. Вообщем сложно это держать 2 админку тупо для удаления.
А по поводу для чего его кильнули — кажись я допонял. Изначально я забыл, что частенько боты (если они могут исходя из свойств сети) грейдят модулем SOCKS-proxy.
Из них если вязать по много штук (например от 10, от балды сказал) разнострановых в связке можно круто че-нить с помощью них «воровать» (секретные данные, счета и т.п) Вот когда черное дело глобальное (которое окупит с лихвой стоимость ботнета) через них пройдет — для супер заметания следов их и можно кильнуть. Это самое логичное объяснение.
+ бот должен издавать как можно меньше внешних подключений, меньше палиться будет. И так насколько я знаю естественная убыль ботов (хорошо написанных и постоянно обновляемых) 2 года назад было ~30% в месяц, зачем еще эту цифирю увеличивать => уменьшать доход. Вообщем сложно это держать 2 админку тупо для удаления.
А по поводу для чего его кильнули — кажись я допонял. Изначально я забыл, что частенько боты (если они могут исходя из свойств сети) грейдят модулем SOCKS-proxy.
Из них если вязать по много штук (например от 10, от балды сказал) разнострановых в связке можно круто че-нить с помощью них «воровать» (секретные данные, счета и т.п) Вот когда черное дело глобальное (которое окупит с лихвой стоимость ботнета) через них пройдет — для супер заметания следов их и можно кильнуть. Это самое логичное объяснение.
Видимо это заговор эникейщиков и сотрудников технической поддержки.
Эк они с этого нагрелись, к сотне тысяч пользователей сходить винду переустанавливать!
Эк они с этого нагрелись, к сотне тысяч пользователей сходить винду переустанавливать!
Вот она, пресловутая красная кнопка Обамы для выключения интернета!
Что непонятного… опять для желтой прессы?
1) реально взломали ботнет и навредили владельцу
2) владелец наворовал пару лямов и решил замочить ботнет чтобы скрыть следы и поднять в будущем новую сеть
1) реально взломали ботнет и навредили владельцу
2) владелец наворовал пару лямов и решил замочить ботнет чтобы скрыть следы и поднять в будущем новую сеть
Может быть пресловутый «День Земли» праздновали? )
а моожет все наоборот?!
«владелец» бот нет-а решив покончить с прошлым закрыл «все странички с порно»?
PS хотя масштабы акции ОГОГОо!!!
«владелец» бот нет-а решив покончить с прошлым закрыл «все странички с порно»?
PS хотя масштабы акции ОГОГОо!!!
>>>в результате выполнения которой около 100,000 пользователей Windows увидели синий экран.
а что увидели пользователи УБУНТЫ? (новость на хабре?) :)
а что увидели пользователи УБУНТЫ? (новость на хабре?) :)
Убили и ладно, побольше бы таких суицидов.
Что-то я не совсем понял, о чем речь. В статье говорится, что просто был вызван экран смерти, в комментариях все обсуждают, что бот нет убил сам себя.
Проснулась гражданская сознательность.
Как вариант, военные тренируются на кошках. Отладка методики быстрого схлопывания компьютерного парка.
от ЛК есть спец утилита по обезвреживанию Zbot: support.kaspersky.ru/faq/?qid=208636281
Да это они День Земли отметили.
Админы пили… меняли пароли… убивали ботнеты…
И что, у вас таки был синий экран?
… в результате выполнения которой около 100,000 пользователей Windows увидели синий экран. Только вот не совсем понятно, зачем владельцам ботнета понадобилось «убивать» подконтрольные им компьютеры.
Всем понятно, а ему непонятно?!
Когда ж от этой дряни винды избавятся-то наконец?
Всем понятно, а ему непонятно?!
Когда ж от этой дряни винды избавятся-то наконец?
А было ли событие? Ну написал какой-то товарищ на своём сайте, что произошло, — так не факт что это было на самом деле.
А реально в России создать свой ботнет и не попасть в окуляры отедла «К»?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Выключатель от 100,000 компьютеров