Ботнеты на основе TOR

[wartur]

Вот попался на это. Хотел людям из другой страны помочь, а меня использовали как атакующего. Теперь я только внутренний ретранслятор. Вот кому надо а?

[Fedcomp]

Вот лежит нож, убили им человека, вот зачем ножи надо делать а?

[wartur]

Я как раз имел ввиду «зачем убивать человека?»

[Fedcomp]

А я как раз о том что TOR это инструмент. Ножиком можно и пищу резать и человека убить.

[Claud]

Плагины расшифровываются на лету в процессе инициализации бота, но ключ шифрования зависит от зараженного компьютера. Такой подход затрудняет процесс извлечения файлов вредоносной программы в процессе криминалистической экспертизы.

Как вообще это работает, т.е. .exe файл зашифрован AES изначально, перед выполнением его расшифровывают во временный файл что ли, а потом выполняют и удаляют? Извиняюсь за глупый вопрос, но познания в этой области совсем скромны.

[matrosov]

Плагин хранится на диске в уже зашифрованном виде, его зашифрование осуществляется в момент его первого сохранения на зараженной машине. Расшифрование плагина осуществляется непосредственно в памяти в момент его загрузки/ инициализации основным мулем вредоносной программы. В процессе генерации ключа используются данные из DigitalProductID и MachineGuid, что делает ключ уникальным для каждой зараженной машины и усложняет в некоторых случаях криминалистический анализ.

[Claud]

Так тогда возникает резонный вопрос, разве нельзя эти расшифрованные модули в памяти отслеживать, и удалять пакость?

[matrosov]

Все известные нам расширения для Win32/Atrax обнаруживаются в памяти на момент их загрузки, после чего блокируется их дальнейшая активность. Удаление основного модуля Win32/Atrax так же не составляет труда.

[efimich]

Кстати, а они активной нодой тор сети являются, то есть трафик tor-а прокачивают?
А то пора бы уже малварщикам в развитие этой сети вкладываться, хе-хе.

Принудительная TOR-ификация всех машин ботнета. Звучит интересно. Может тогда эта сеть начнет хоть чуть-чуть быстрее работать.