10:27
18/1/2013

Virut to botnet — dzieło polskich programistów. Jego wielkość szacuje się na ok. 300 000 zainfekowanych maszyn, a botnet jest wykorzystywany do spamu, kradzieży danych i ataków DDoS. Swoje centrum dowodzenia miał w Polsce. Do dzisiaj…

Odważne działania NASK-u

NASK właśnie poinformował, że przejął 23 polskie domeny, które wykorzystywane były w atakch Virutem. Jest to pierwszy przypadek, w którym NASK decyduje się na tak drastyczne decyzje, jak siłowe odebranie domeny jej właścicielowi — ale nie ulega wątpliwości, że w tym przypadku jest to słuszna i długowyczekiwana decyzja. NASK do tej pory, w przeciwieństwie do innych registrarów nie nakładał żadnych sankcji na “złośliwe” domeny.

Zief.pl - taken over by NASK

Zief.pl – jedna z domen Viruta przejęta przez NASK


Domeny Viruta wskazują obecnie na adres 148.81.111.111 należący do NASK-u.

Virut: co, kto i dlaczego?

Z naszych informacji wynika, że już od kilku lat Virut był wnikliwie analizowany przez zespół CERT Polska. Dzięki temu ustalono, że C&C Viruta było utrzymywane m.in. na domenach zief.pl oraz ircgalaxy.pl, które dziś zostały wyłączone przez NASK. Techniką sinkholingu pozyskano także informację o 890 tysiącach unikalnych adresów IP zainfekowanych Virutem użytkowników. Na botnecie tej wielkości można uzyskać przychody rzędu 1 000 000 złotych w skali roku.

Autorów Viruta próbowano namierzyć już w 2007 roku. Według informacji Teamfurry właścicielami botnetu mają być dwaj Polacy:

  • xmax. Teamfurry zebrał następujące dane na temat tej osoby: Max S., ur. 17.02.1989, z Kamiennej Góry, będący operatorem w sieci PolNet i powiązany z domeną canpol.pl/softland.pl
  • adx. Dane zebrane przez Teamfurry: asm-wiz, Piotr N., Warszawa

Działania NASK-u następują zaledwie kilka dni po informacji, że Virut połączył siły z rosyjskim botnetem Waledac, którego główną funkcją jest wysyłanie spamu i który po fuzji będziebyłby w stanie wysyłać ok. 3,6 miliarda e-maili w ciągu doby.

Czy autorzy podejmą próbę odbudowania C&C botnetu? Czas pokaże…

Przeczytaj także:

49 komentarzy

Dodaj komentarz
  1. Złapałem to kedyś (opcja B)… Jak na polski wynalazek posiadało to kilka ciekawych rozwiązań infekcji (m.in. EPO)…

  2. a mi sie wydaje ze to sprawka nvm

    • Źle Ci się wydaje.

    • Dobre :D

    • Czlowieku! Ludzie pija kawe w pracy … chcesz bym sie zakrztusil i zeszedl z tego swiata?

    • haha dobre :D !

  3. długowyczekiwana osobno :P

  4. “Na botnecie tej wielkości można uzyskać przychody rzędu 1 000 000 złotych w skali roku.” – zaciekawiło mnie to, ma ktoś link do jakiegoś artykułu na temat takich szacowań/obliczeń?

  5. dobre id newsa ;)

  6. A jak wygladaja kwestie prawe? Moga o cos pozwac
    NASK?

  7. Od tego jest narodowy registrar, by w takiej sytuacji zdecydowanie działać.

    • “na dwoje babka wróżyła”, w tej sytuacji się zgodzę,
      pytanie czy było to poparte czynnościami prawnymi/wyrokiem
      sądu/nakazem i na ile jest to zgodne z obowiązującym regulaminem, a
      na ile jest to samowolką. Żeby nie było – jestem za bezwzględnym
      ucinaniem tego typu działań, niemniej jednak, żeby nie okazało się,
      że “pierwszy przypadek, gdy podjęliśmy decyzję o zaprzestaniu
      utrzymywania nazw w domenie .pl”, stanie się początkiem lawiny
      usuwania nawet pseudopodejrzanych domen. Polski “wymiar
      sprawiedliwości” zna przecież takie przypadki, gdzie najpierw się
      działa, a później myśli…

    • Gorzej jak narodowy registrator zrobi się cfańszy niż
      trzeba (*ekhem* Verizon i Megaupload *ekhem*). Dlatego ja jestem za
      tym, aby się wstrzymywać o ile botnet nie jest uciążliwy dla
      “zombiaków”. Virut, albo jak go z kumplami na IRC-u ochrzciliśmy,
      Bierut, potrafił nieźle kompa zmulić (sam to miałem kilka lat
      temu).

    • Dostepny online ? :)

  8. Też bym chętnie poczytaj jak się oblicza opłacalność botnetu

  9. Czy to jest ten sam Virut, który infekował pliki
    wykonywalne? W jednej firmie musiałem zwalczać to dziadostwo
    (spuścizna po innej osobie) i się udało.

  10. Przelicz sobie ilość maili mogących być wysłanych przez
    taki botnet * cena maila spamowego – to akurat w necie znajdziesz
    (Cena maila reklamowego ;p) * ewentualna zniżka (%) i masz
    cenę.

  11. Lol, taka strona w fpd :D

  12. Z takich komputerów zombie da sie na pewno więcej wyciągnąć
    nawet przez same ataki ddos i szantażowania hostingów jak to było
    opisane gdzieś na niebezpieczniku

  13. Czegoś nie rozumiem. 1. Zespół CERT Polska kilka lat
    wnikliwie analizował Viruta? Kilka lat? No to mają refleks. 2.
    Wiadomo kto i te osoby jeszcze nie siedzą? Gdzie służby, szukają po
    domach nielegałki z WIN8?

    • Zabawne jest zestawienie tego komentarza ze znajdującym się nieco wyżej na temat czynności prawnych/wyroków/samowolki i “działania zanim się pomyśli” :)

  14. A co, chcecie własny biznes botnetowy rozwinąć ? W
    dzisiejszych czasach to nic trudnego.

  15. Tyle przegrać T_T

  16. Adx pamiętam jeszcze z crashnet. Stare czasy, oj adx adx
    ;)

  17. Nikt nie powiedział, że oni tyle zarabiali. Wszystko zalezy
    od pomysłowości włascicieli i tego w jaki sposob zasoby byly
    wykorzystywane. Nikt kto znajdzie bardziej opłacalny sposób od
    innych znanych ogółem się nie będzie dzielił bo wiadomo, iż potem
    to już nie będzie takie opłacalne. Jak by nie patrzeć, na samym
    początku zostało wyjaśnione do czego wykorzystywali zasoby swojego
    dzieła. Kto powiedział, że nie mieli dodatkowych pomysłów które
    przynosiły im zyski 2x większe ;P. W końcu to rodacy hehe

  18. Literówka w art. “wykorzystywane były w atakch
    Virutem”

  19. @up Sprawdza w cenniku

  20. Wychodzi ze 3,33pln rocznie od każdej maszyny ;) Teraz
    możecie policzyć ile zarabia Armaged0n na swoich botnetach
    :)

  21. adx? A to nie on dłubał przy IRCD-Hybrid i był adminem
    crashnetu i irc7? Pamietam jak w dawnych czasach siędziałem z nim
    na jednym kanale… Jeśli to ten sam gostek.

    • … a teraz będziesz siedział w jednej celi.

      Sorry, MSPANC :-)

    • Raczej nie będzie siedział. Gość ma niezłe problemy ze zdrowiem psychicznym (albo udaje) i raczej go nie wsadzą. Już dawno by to zrobili.

      Pozdrowienia od starego crashnetowca. :-)

    • Hmm.. adx chyba coś tam mi świta, ale połączenie “zief” i Piotr N. już jak najbardziej. :) Kolega z grupy ze studiów. :)
      I faktycznie z psychiką u niego średnio.. Tak +- w połowie studiów stwierdzał coś w stylu, że elektronika i informatyka już go nie interesuje – tyle już wie na ten temat, i zaczął sobie czytać Mein Kampf w oryginale. Po czym chodził zadumany po korytarzu, w pewnym momencie się zatrzymywał i wykrzykiwał coś po niemiecku. :)
      I jeśli to nie to samo, to miał conajmniej jeszcze jeden całkiem ciekawy trojanik działający.
      Ale kiedyś się np. pojawił trochę wystraszony na uczelni ze stwierdzeniem, że mu policja na chatę wpadła.. Tia..

  22. Hunterzy botnetow “przej ac” za pozwoleniem ?

  23. Sa na sprzedaz ;)

  24. Ponad 4000tys na sekunde po fuzji. Calkiem spoko

  25. Tak się zastanawiam czy botnet miał tylko nazwę Virut czy też infekował tym polimorficznym świństwem, z tego co wiem to po infekcji Virutem i jemu podobnymi system staje się bezużyteczny dla Usera.

  26. Czy autorzy podejmą próbę odbudowania C&C botnetu?
    Czas pokaże… – Retoryczne pytanie….

  27. No i okazuje się że to nie jest decyzja NASK… Jest to
    część większej akcji prowadzonej przez Spamhaus. NASK dostosował
    się do prośby od Spamhaus. Równolegle ubito domeny .ru, a nadal
    oczekują na reakcję dotyczącą domen .at. Tak więc CERT i NASK
    zrobiły dokładnie NIC żeby wyłączyć botnet działający od 2006 roku.
    Dopiero działania podjęte przez niezależną organizację walcząca ze
    spamem spowodowały wyłączenie domen, i tylko dlatego, że Virut
    zaczął rozsyłać wariant spambota Waledac. IMHO kompromitacja CERTu
    a nie sukces. Pełna historia tutaj
    http://www.spamhaus.org/news/article/690/cooperative-efforts-to-shut-down-virut-botnet
    BTW – wypadało by uaktualnić newsa.

    • Hm. Znaczy jak Spamhaus napisał to mu święcie należy wierzyć, a jak CERT Polska napisał to na pewno kłamie i w ogóle kompromitacja? Czy może wiesz z pierwszej ręki jak było? ;>

      Podpowiedz mi Sherlocku w jaki sposób Spamhaus sprawił, że właścicielem domen jest NASK a ich NS jest w CERT Polska?

      Przy okazji, stwierdzenie w newsie Spamhausa jakoby domeny .RU były definitywnie wyłączone jest mniej więcej tak samo na wyrost jak przedwczesne odtrąbienie przez nich sukcesu w listopadzie, gdy kilka domen zablokował jeden z polskich rejestratorów.

    • fubu jak twoj botnet ?

  28. Zuo: skoro tak, to niby dlaczego Spamhaus linkuje na tej samej stronie do newsa CERTu?

  29. a to teraz publikujemy tu linki do dziurawych stron?
    Deprecated: Assigning the return value of new by reference is deprecated in /home/teamfurr/public_html/wordpress/wp-includes/theme.php on line 508

  30. Jako ciekawostkę mogę pokazać wykres liczby podłączonych botów tego trojana z 2007 roku:

    http://bothunters.pl/2013/01/22/pierwsze-przejecie-polskich-domen-wykorzystywanych-przez-botnet-virut/

  31. Dzisiaj kolejne przejęcia: http://www.cert.pl/news/6711

  32. [...] took the action late last week–the first time the registrar has taken such steps against infected domains–after being approached by [...]

  33. […] które odfiltrowywało ruch do adresów IP fałszywych serwerów DNS, oraz wcześniej, kiedy to NASK przejmował infrastrukturę polskiego botnetu Virut. W przypadku polskich operacji powody były jasne i działania ograniczone do konkretnych […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: