Ботнет Kelihos, который разработчики из «Лаборатории Касперского» и Microsoft ликвидировали прошлой осенью, перекрыв контрольный канал, снова живее всех живых. По сравнению с его прошлой «инкарнацией», единственные изменения были внесены только в сам вредоносный код и список контроллера. Воскрешение ботнета наглядно демонстрирует сложность борьбы с подобными вредоносными сетями и укрепляет вирусописателей, что они могут жить неограниченно долго.

В конце сентября разработчики из «Лаборатории Касперского» и Microsoft вместе вели работу по созданию инструмента, противостоящего Kelihos, который использовал метод синкхолинга (sinkholing). Суть метода заключается в перенаправлении командного трафика троянов с C&C-сервера на собственный сервер аналитиков.

Корпорация Microsoft подозревает в причастности к созданию ботнета Kelihos жителя Санкт-Петербурга Андрея Сабельникова, который на протяжении нескольких лет был сотрудником разных ИБ-компаниях, включая антивирусного производителя Agnitum. Об этом пишет Computerworld со ссылкой на информацию со страницы Сабельникова в социальной сети LinkedIn.

С 2005 по 2008 годы Сабельников работал в компании Agnitum, самым известным продуктом которой является фаерволл Outpost Firewall Pro. Факт сотрудничества питерского программиста с Agnitum подтвердил представитель компании, сообщивший, что Сабельников уволился оттуда в ноябре 2008 года по собственному желанию.

С ноября 2008 по декабрь 2011 года предполагаемый создатель Kelihos был сотрудником компании Returnil, выпустившей утилиту Returnil Virtual System. Утилита создает копию ОС Windows в изолированной среде, тем самым защищая исходную систему от действий подозрительных программ.

Федеральные власти сообщают, что они подорвали деятельность пресловутого ботнета, который проник в наиболее секретные организации мира, благодаря беспрецедентной стратегии уничтожения, в которой использовался правительственный сервер, связанный непосредственно с инфицированными ПК.

Coreflood, который поработил почти 800 000 компьютеров, подвергся удару ФБР в апреле, когда ФБР и министерство юстиции США завершили свою крупнейшую операцию в сфере компьютерных преступлений с захватом серверов и доменных имен, принадлежащих ботсети Coreflood. Ко второй неделе июня количество инфицированных компьютеров стало столь незначительным, что они стали едва различимы на диаграмме, которую агентство предоставило в последних слушаниях в суде. В целом, количество компьютеров, подчиненных ботнету, снизилось более, чем на 95%, написал в судебном документе специальный агент ФБР.

В какое замечательное время мы живем! Благодаря развитию интернета купить что-либо или оплатить услугу можно быстро и без хлопот. Комфорт такой, что позавидуешь самому себе. Не вылезая из кровати, можно приобрести не только продукты к обеду, но и яхту или дом в далекой стране, причем выбрав из максимально возможного ассортимента. Уже не редкость, когда через интернет проводятся платежи между фирмами, а обычные люди играют на бирже.

Естественно, чтобы воспользоваться такими возможностями, необходимо авторизоваться в системе и определить счет, с которого будут перечисляться деньги. Деньги... Деньги... Везде, где крутятся деньги, жди появления злоумышленников, которые захотят и, что еще хуже, обязательно попробуют прикарманить их. Так получилось и в сфере электронных денег. На что только не идут жулики, чтобы заполучить чужую копейку! Но самый верный способ — это представиться системе хозяином счета. И тогда делай со средствами на счетах жертвы все, что позволено настоящему владельцу.

Самый распространенный способ доказать системе, что у тебя есть право управлять денежным счетом, — это сообщить ей имя владельца (или номер кредитной карты, зарегистрированный псевдоним и т.п.) и правильный пароль (пин-код, кодовое слово и т.п.). Этого достаточно, чтобы система «узнала» пользователя. Но как заполучить вожделенные персональные данные пользователя? У злоумышленников в руках имеется такой эффективный инструмент, как Троянская программа. С помощью этой «фомки» можно добыть практически любую информацию о пользователе, причем так, что тот даже не заподозрит хищения данных.

Бот-сетью (известен как ботнет) называются несколько зараженных компьютеров, связанных между собой, управление которыми осуществляет бот-мастер, а компьютеры могут контролироваться им удалённо без согласия владельца каждого компьютера. Инфицированные компьютеры называют зомби.

Бот-мастер может использовать инфицированные компьютеры, находящиеся под контролем, в различных целях. Он может действовать на одном компьютере, как будто сам физически находится в системе. Для него возможен как доступ к сохранённым данным в соответствующей системе, так и незаметное использование компьютеров, связанных по сети.

Наряду с похищением данных, доступ к захваченным компьютерам также позволяет скрыть личность взломщика, пока компьютер-жертва (Бот) используется как прокси. В зависимости от размера Бот-сети, преступник может за секунду изменить IP адрес и по сети жертвы может начать производить нелегальные действия. Кроме того, удалённо управляемые компьютеры подходят как для дальнейшего распространения вредоносных бот-кодов, так и для массовой рассылки спама.

Тёмные личности, промышляющие сколачиванием Zeus-ботнетов, в очередной раз проявили фантазию в деле внедрения троянов на компьютеры наивных пользователей. Теперь Zeus в качестве приманки использует страшилку про самого себя, сообщает SophosLabs.

Напомним, что в начале месяца известный обозреватель киберугроз Брайан Кребс (Brian Krebs) сообщил о фишинговой атаке на служащих госструктур США. Многие владельцы почтовых ящиков в доменах .gov и .mil получили поддельные письма, якобы отправленные Агентством национальной безопасности. По указанной в письмах ссылке раздавалась одна из разновидностей банковского трояна Zeus.

Уже через несколько дней после означенной публикации многие пользователи стали получать письма с предупреждением об этой атаке. Первые несколько абзацев текста этих писем были тщательно скопипастены у Кребса, а за ними было размещено предложение скачать обновление безопасности для Windows 2000/XP/Vista/7.

В интернете появился новый ботнет Spy Eye, который объявил войну своему уже достаточно известному конкуренту Zeus. Он удаляет код Zeus с ПК жертвы, предварительно похищая его базы данных. Аналитики говорят, что родина этого агрессивного вредоноса - Россия.

В Сети появилась новая троянская программа, которая объявила войну своему более крупному конкуренту на зараженных компьютерах. По словам специалистов в сфере интернет-безопасности, оригинальный функционал всего несколько дней назад появился в еще сравнительно неизвестном троянце Spy Eye, который пытается уничтожить своего крупного конкурента под названием Zeus, сообщает PCWorld.

Новая функция называется Kill Zeus и позволяет программе удалять код Zeus с компьютера жертвы, перед этим получив эксклюзивный доступ ко всей базе его логинов и паролей.

Как Zeus, так и Spy Eye являются троянскими программами, которые используются злоумышленниками для создания ботнетов - сетей зараженных машин. Аналитики отмечают, что в прошлом году популярность ботнетов существенно выросла. По данным ФБР за октябрь 2009 г., потери из-за них составили около $100 млн.

Хакеры снова атакуют прошедшие джейлбрейк смартфоны Apple iPhone, пользователи которых не поменяли пароль по умолчанию на SSH-доступ.

Новый червь, названный компанией Sophos - Duh, а компанией Intego - iBotNet.A, использует ту же уязвимость что и ikee, первый iPhone-вредонос, созданный в демонстрационных целях и всего лишь безобидно меняющий обои.

Также, эту уязвимость использует и утилита iPhone/Privacy.A, которая незаметно крадет любые данные с коммуникатора, находящегося в зоне Wi-Fi-доступа.

Напомним, что iPhone, прошедший джейлбрейк, открывает удаленный интернет-доступ к своей операционной среде через SSH-туннель; необходимым условием при этом является неизменность установленного по умолчанию пароля (alpine).

К DoS-атакам в интернете все уже привыкли и знают, как это делается: тысячи заражённых ПК формируют ботнет и в определённый момент начинают одновременно бомбардировать запросами указанный веб-сервер. Тот не выдерживает нагрузки и отваливается.

Как выяснилось, подобный алгоритм DoS-атаки применим не только в интернете, но и в сетях сотовой связи. Об эксперименте инженеров из технологического института Джорджии пишет New Scientist.

В ходе эксперимента было проверено, какого размера должен быть ботнет, чтобы завалить сотового провайдера средней величины. Для опыта взяли сервер с базой данных типа Home Location Register (HLR), которая имеется у каждого оператора.

1. Введение

— Ни для кого не секрет, что социальные сети уже давно являются притягательными платформами для различного рода кибер-преступлений, таких как спамминг, фишинг, фарминг аккаунтов и других.

Причина кроется в ряде свойств, которыми обладают все социальные сети и которые могут быть использованы злоумышленниками в своих целях.

Такими свойствами прежде всего являются:

1. Огромная пользовательская база
2. Возникновение связей доверия как между отдельными пользователями так и между группами пользователей
3. Высокое распределение базы пользователей по географическому и временному параметрам
4. Компьютерная неграмотность пользователей социальной сети

Людям знакомым с информационной безопасностью не надо объяснять, что при комбинации методов технических и социальной инженерии эти свойства позволяют достичь желаемого результата в короткие сроки при затрате минимальных усилий.

2. Легитимная уязвимость
3. Червоточины
4. Так где же мой Ботнет или первая ласточка
5. Заключение

Усилиями компании FireEye несколько дней назад удалось завалить ботнет Mega-D, известный также как Ozdok.

Пастухам этой зомби-сети не помогли защитные меры, которые те предприняли после удара, полученного в результате прошлогоднего закрытия провайдера McColo.

Как пояснил Атиф Муштак (Atif Mushtaq) из FireEye, Ozdok был вырублен в течение суток.

Для этого компании пришлось сотрудничать с провайдерами и доменными регистраторами, что привело к блокировке IP-адресов и закрытию доменов, связанных с контролирующими центрами ботнета.

Впрочем, часть контролирующих центров пока продолжают функционировать.

Владельцы Ozdok предприняли некоторые меры на случай подобных действий. В частности, зомби-компьютеры пытаются связываться с несколькими десятками доменных имён для получения инструкций по рассылке спама.