18/1/2013
Virut to botnet — dzieło polskich programistów. Jego wielkość szacuje się na ok. 300 000 zainfekowanych maszyn, a botnet jest wykorzystywany do spamu, kradzieży danych i ataków DDoS. Swoje centrum dowodzenia miał w Polsce. Do dzisiaj…
Odważne działania NASK-u
NASK właśnie poinformował, że przejął 23 polskie domeny, które wykorzystywane były w atakch Virutem. Jest to pierwszy przypadek, w którym NASK decyduje się na tak drastyczne decyzje, jak siłowe odebranie domeny jej właścicielowi — ale nie ulega wątpliwości, że w tym przypadku jest to słuszna i długowyczekiwana decyzja. NASK do tej pory, w przeciwieństwie do innych registrarów nie nakładał żadnych sankcji na “złośliwe” domeny.
Domeny Viruta wskazują obecnie na adres 148.81.111.111 należący do NASK-u.
Virut: co, kto i dlaczego?
Z naszych informacji wynika, że już od kilku lat Virut był wnikliwie analizowany przez zespół CERT Polska. Dzięki temu ustalono, że C&C Viruta było utrzymywane m.in. na domenach zief.pl oraz ircgalaxy.pl, które dziś zostały wyłączone przez NASK. Techniką sinkholingu pozyskano także informację o 890 tysiącach unikalnych adresów IP zainfekowanych Virutem użytkowników. Na botnecie tej wielkości można uzyskać przychody rzędu 1 000 000 złotych w skali roku.
Autorów Viruta próbowano namierzyć już w 2007 roku. Według informacji Teamfurry właścicielami botnetu mają być dwaj Polacy:
- xmax. Teamfurry zebrał następujące dane na temat tej osoby: Max S., ur. 17.02.1989, z Kamiennej Góry, będący operatorem w sieci PolNet i powiązany z domeną canpol.pl/softland.pl
- adx. Dane zebrane przez Teamfurry: asm-wiz, Piotr N., Warszawa
Działania NASK-u następują zaledwie kilka dni po informacji, że Virut połączył siły z rosyjskim botnetem Waledac, którego główną funkcją jest wysyłanie spamu i który po fuzji będziebyłby w stanie wysyłać ok. 3,6 miliarda e-maili w ciągu doby.
Czy autorzy podejmą próbę odbudowania C&C botnetu? Czas pokaże…
Złapałem to kedyś (opcja B)… Jak na polski wynalazek posiadało to kilka ciekawych rozwiązań infekcji (m.in. EPO)…
a mi sie wydaje ze to sprawka nvm
Źle Ci się wydaje.
Dobre :D
Czlowieku! Ludzie pija kawe w pracy … chcesz bym sie zakrztusil i zeszedl z tego swiata?
haha dobre :D !
długowyczekiwana osobno :P
“Na botnecie tej wielkości można uzyskać przychody rzędu 1 000 000 złotych w skali roku.” – zaciekawiło mnie to, ma ktoś link do jakiegoś artykułu na temat takich szacowań/obliczeń?
Proszę, raport o dochodach, m.in. z botnetów:
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_underground_economy_report_11-2008-14525717.en-us.pdf
Dla ciekawych sinkholingu polecam:
http://www.csd.uoc.gr/~hy558/papers/torpig.pdf
dobre id newsa ;)
A jak wygladaja kwestie prawe? Moga o cos pozwac
NASK?
Od tego jest narodowy registrar, by w takiej sytuacji zdecydowanie działać.
“na dwoje babka wróżyła”, w tej sytuacji się zgodzę,
pytanie czy było to poparte czynnościami prawnymi/wyrokiem
sądu/nakazem i na ile jest to zgodne z obowiązującym regulaminem, a
na ile jest to samowolką. Żeby nie było – jestem za bezwzględnym
ucinaniem tego typu działań, niemniej jednak, żeby nie okazało się,
że “pierwszy przypadek, gdy podjęliśmy decyzję o zaprzestaniu
utrzymywania nazw w domenie .pl”, stanie się początkiem lawiny
usuwania nawet pseudopodejrzanych domen. Polski “wymiar
sprawiedliwości” zna przecież takie przypadki, gdzie najpierw się
działa, a później myśli…
Gorzej jak narodowy registrator zrobi się cfańszy niż
trzeba (*ekhem* Verizon i Megaupload *ekhem*). Dlatego ja jestem za
tym, aby się wstrzymywać o ile botnet nie jest uciążliwy dla
“zombiaków”. Virut, albo jak go z kumplami na IRC-u ochrzciliśmy,
Bierut, potrafił nieźle kompa zmulić (sam to miałem kilka lat
temu).
Dostepny online ? :)
Też bym chętnie poczytaj jak się oblicza opłacalność botnetu
http://krebsonsecurity.com/?s=botnet – może tutaj rozpoznaj monetyzację? not to mention bothunters.pl
Czy to jest ten sam Virut, który infekował pliki
wykonywalne? W jednej firmie musiałem zwalczać to dziadostwo
(spuścizna po innej osobie) i się udało.
Przelicz sobie ilość maili mogących być wysłanych przez
taki botnet * cena maila spamowego – to akurat w necie znajdziesz
(Cena maila reklamowego ;p) * ewentualna zniżka (%) i masz
cenę.
Lol, taka strona w fpd :D
Z takich komputerów zombie da sie na pewno więcej wyciągnąć
nawet przez same ataki ddos i szantażowania hostingów jak to było
opisane gdzieś na niebezpieczniku
Czegoś nie rozumiem. 1. Zespół CERT Polska kilka lat
wnikliwie analizował Viruta? Kilka lat? No to mają refleks. 2.
Wiadomo kto i te osoby jeszcze nie siedzą? Gdzie służby, szukają po
domach nielegałki z WIN8?
Zabawne jest zestawienie tego komentarza ze znajdującym się nieco wyżej na temat czynności prawnych/wyroków/samowolki i “działania zanim się pomyśli” :)
A co, chcecie własny biznes botnetowy rozwinąć ? W
dzisiejszych czasach to nic trudnego.
Tyle przegrać T_T
Adx pamiętam jeszcze z crashnet. Stare czasy, oj adx adx
;)
Nikt nie powiedział, że oni tyle zarabiali. Wszystko zalezy
od pomysłowości włascicieli i tego w jaki sposob zasoby byly
wykorzystywane. Nikt kto znajdzie bardziej opłacalny sposób od
innych znanych ogółem się nie będzie dzielił bo wiadomo, iż potem
to już nie będzie takie opłacalne. Jak by nie patrzeć, na samym
początku zostało wyjaśnione do czego wykorzystywali zasoby swojego
dzieła. Kto powiedział, że nie mieli dodatkowych pomysłów które
przynosiły im zyski 2x większe ;P. W końcu to rodacy hehe
Literówka w art. “wykorzystywane były w atakch
Virutem”
@up Sprawdza w cenniku
Wychodzi ze 3,33pln rocznie od każdej maszyny ;) Teraz
możecie policzyć ile zarabia Armaged0n na swoich botnetach
:)
adx? A to nie on dłubał przy IRCD-Hybrid i był adminem
crashnetu i irc7? Pamietam jak w dawnych czasach siędziałem z nim
na jednym kanale… Jeśli to ten sam gostek.
… a teraz będziesz siedział w jednej celi.
Sorry, MSPANC :-)
Raczej nie będzie siedział. Gość ma niezłe problemy ze zdrowiem psychicznym (albo udaje) i raczej go nie wsadzą. Już dawno by to zrobili.
Pozdrowienia od starego crashnetowca. :-)
Hmm.. adx chyba coś tam mi świta, ale połączenie “zief” i Piotr N. już jak najbardziej. :) Kolega z grupy ze studiów. :)
I faktycznie z psychiką u niego średnio.. Tak +- w połowie studiów stwierdzał coś w stylu, że elektronika i informatyka już go nie interesuje – tyle już wie na ten temat, i zaczął sobie czytać Mein Kampf w oryginale. Po czym chodził zadumany po korytarzu, w pewnym momencie się zatrzymywał i wykrzykiwał coś po niemiecku. :)
I jeśli to nie to samo, to miał conajmniej jeszcze jeden całkiem ciekawy trojanik działający.
Ale kiedyś się np. pojawił trochę wystraszony na uczelni ze stwierdzeniem, że mu policja na chatę wpadła.. Tia..
Hunterzy botnetow “przej ac” za pozwoleniem ?
Sa na sprzedaz ;)
Ponad 4000tys na sekunde po fuzji. Calkiem spoko
Tak się zastanawiam czy botnet miał tylko nazwę Virut czy też infekował tym polimorficznym świństwem, z tego co wiem to po infekcji Virutem i jemu podobnymi system staje się bezużyteczny dla Usera.
Czy autorzy podejmą próbę odbudowania C&C botnetu?
Czas pokaże… – Retoryczne pytanie….
No i okazuje się że to nie jest decyzja NASK… Jest to
część większej akcji prowadzonej przez Spamhaus. NASK dostosował
się do prośby od Spamhaus. Równolegle ubito domeny .ru, a nadal
oczekują na reakcję dotyczącą domen .at. Tak więc CERT i NASK
zrobiły dokładnie NIC żeby wyłączyć botnet działający od 2006 roku.
Dopiero działania podjęte przez niezależną organizację walcząca ze
spamem spowodowały wyłączenie domen, i tylko dlatego, że Virut
zaczął rozsyłać wariant spambota Waledac. IMHO kompromitacja CERTu
a nie sukces. Pełna historia tutaj
http://www.spamhaus.org/news/article/690/cooperative-efforts-to-shut-down-virut-botnet
BTW – wypadało by uaktualnić newsa.
Hm. Znaczy jak Spamhaus napisał to mu święcie należy wierzyć, a jak CERT Polska napisał to na pewno kłamie i w ogóle kompromitacja? Czy może wiesz z pierwszej ręki jak było? ;>
Podpowiedz mi Sherlocku w jaki sposób Spamhaus sprawił, że właścicielem domen jest NASK a ich NS jest w CERT Polska?
Przy okazji, stwierdzenie w newsie Spamhausa jakoby domeny .RU były definitywnie wyłączone jest mniej więcej tak samo na wyrost jak przedwczesne odtrąbienie przez nich sukcesu w listopadzie, gdy kilka domen zablokował jeden z polskich rejestratorów.
fubu jak twoj botnet ?
Zuo: skoro tak, to niby dlaczego Spamhaus linkuje na tej samej stronie do newsa CERTu?
http://www.teamfurry.com/wordpress/2007/09/04/so-who-is-behind-virut/
a to teraz publikujemy tu linki do dziurawych stron?
Deprecated: Assigning the return value of new by reference is deprecated in /home/teamfurr/public_html/wordpress/wp-includes/theme.php on line 508
Jako ciekawostkę mogę pokazać wykres liczby podłączonych botów tego trojana z 2007 roku:
http://bothunters.pl/2013/01/22/pierwsze-przejecie-polskich-domen-wykorzystywanych-przez-botnet-virut/
Dzisiaj kolejne przejęcia: http://www.cert.pl/news/6711
[…] took the action late last week–the first time the registrar has taken such steps against infected domains–after being approached by […]
[…] które odfiltrowywało ruch do adresów IP fałszywych serwerów DNS, oraz wcześniej, kiedy to NASK przejmował infrastrukturę polskiego botnetu Virut. W przypadku polskich operacji powody były jasne i działania ograniczone do konkretnych […]