6:29
29/3/2012

Policja i pracownicy działów bezpieczeństwa mają spory problem natury prawnej, jeśli chodzi o zdalne usuwanie z cudzych komputerów złośliwego oprogramowania i łatanie podatności, którą wykorzystano do infekcji. Nie można tego zrobić bez pozwolenia od zainfekowanego, ponieważ sam fakt odinstalowania botnetu jest nieautoryzowaną (i dlatego karalną) zmianą w systemie zainfekowanego. I nie ma tu żadnego znaczenia, że intencje są dobre…. ale nie wszystko stracone, pewien internauta wpadł na ciekawy pomysł jak można obejść problem “związanych prawem rąk”…

Botnet Sality: nie usuwajcie go, ok?

Internauta o cynicznym nicku lawabidingcitizen podesłał we wtorek interesujący post na listę Full Disclosure. Podzielił się w nim informacją, dotyczącą zniszczenia milionowego botnetu o nazwie Sality, który między innymi wykrada hasła i rozsyła spam z zainfekowanych hostów.

Sality

Sality

lawabidingcitizen ujawnił wszystkimi szczegóły dotyczące tego, jak można przejąć kontrolę nad C&C botnetu i w konsekwencji “wyleczyć” wszystkich zainfekowanych Sality internautów. Ale ponieważ takie działanie byłoby niezgodne z prawem, lawabidingcitizen poprosił, aby pod żadnym pozorem nikt z czytających jego post nie wykonywał opisanych przez niego kroków — które, tylko i wyłącznie z czystego kronikarskiego obowiązku Niebezpiecznik przytacza poniżej:

  • Nie powinniście próbować ataków SQL injection na http://www.capesolution.com/login/login.aspx
  • Nie powinniście uploadować na serwer C&C botnetu do ścieżki /images/logo/logof.jpeg narzędzia usuwającego, które można pobrać z: http://www7.zippyshare.com/d/65744138/9360/byesality.zip (hasło: sality)
  • Nie powinniście też wyszukiwać kolejnych serwerów C&C za pomocą skryptu pythona, który znajdziecie w archiwum powyżej

 

I na koniec, nie powinniście maniakalnie chichotać, patrząc jak botnet sam się usuwa z milionów komputerów…

PS. Zdecydowanie odradzamy też wykorzystanie TOR-a do w/w instrukcji, których przecież na pewno nie wykonacie, bo to byłoby złe. A wy jesteście dobrzy. Siedzę na koniu.

Przeczytaj także:

47 komentarzy

Dodaj komentarz
  1. Pwned :-D.

  2. Sality to straszne ustrojstwo. Podobnie zresztą jak CLAM AV który przepuścił te ustrojstwo na moje kompy ;/

    • ClamAV jest niestety słaby. Pamiętam, jak w jakimś teście miał wykrywalność ~70%, kiedy inne miały ~90%. Po prostu większość swiata open-source ma gdzieś antywirusy i nie na nich koncentrują wysiłki.

  3. Win +1

  4. Dobre :-)

  5. reverse psychology will never work on me… Damn

  6. Jeszcze ten botnet żyje?

  7. Chylę czoło, Kudos :)

  8. Pytanie, czy botnet jeszcze stoi, albo czy już ktoś zrobił z niego użytek… ;)

  9. Siedzę na koniu. Przepiękna puenta!
    You’ve made my day! I boki zrywam.
    :-)

  10. Na tej stronie hxxp://www.capesolution.com/login/login.aspx ładuje się wirus brzez buga w javie: http://virusscan.jotti.org/en/scanresult/1924f7c10ec621426b2293e6daf02413918afaa1/f5324053c5773651e39c769a861a95e08ec701a7

  11. Link do narzędzia nie działa.

  12. Genialne :D

  13. Piękne! :)

  14. “…A wy jesteście dobrzy. Siedzę na koniu.”

    Made-my-day :D

    Ps. Powtórka, ale co tam – ;)

  15. “Siedzę na koniu” ?

  16. miszcz pawarotti by lepszego zakończenia nie wymyślił :-]

  17. No, ciekawe kto pierwszy zainstalował im swój botnet , a ten usunął dla niepoznaki…

  18. zerwać boki mało powiedziane…
    on nie może wszystkim pomóc bo jest koniem :D

    kawa nabrała jakby lepszego smaku :DDD

  19. “…A wy jesteście dobrzy. Siedzę na koniu.”

    dla mnie niezrozumiałe. byłby ktoś uprzejmy … ?

  20. Hahahahahahahahahahahahahah
    *WDECH*
    *WYDECH*
    Hahahahahahahahahahahahahah

    Ostatnie zdanie mnie zniszczyło :D

  21. Można prosić o zrzut ekranu w normalnej rozdzielczości? ¬¬. To jak lizanie cukierka przez papierek. Infekować i używać to mogą ale usuwać już nie – dobry żart.

  22. Tylko jedna kwestia – skoro ten lawabidingcitizen ma takie dobre intencje to dlaczego sam tego nie nie-zrobił?

  23. @Damian: http://uploadmirrors.com/download/1DQGRXOQ/byesality.zip
    ale mało użytecznie wygląda.

  24. Opad szczeny :D

  25. Pod adresem http://www.capesolution.com/login/login.aspx pojawia się jakiś pdf z exploitem chyba. Przynajmniej to raportuje AVIRA.

    • Po odwiedzeniu linku i braku zainstalowanych aktualizacji musiałem się pożegnać z Windowsem. Nawet Avira Premium Security nie pomogła.

    • Przepraszam, Internet Security.

  26. hakowanie ludzkich mózgów nie jest karalne? :)

  27. You make my day ! haha :D

  28. Your horse is amazing.

  29. Strona logowania zgłoszona jako dokonująca ataków (FF). Strona główna śmiga. Nie żebym próbował…

  30. to po co są te aktualizacje automatyczne :D

  31. Nie rozumiem dlaczego ktoś tworzy mirrory narzędzia, którego i tak nie pobierzemy. Tak więc nie pobierajcie plików z tego linku http://uploadmirrors.com/download/1DQGRXOQ/ Hasło, którego pod żadnym pozorem nie wpisujcie do niepobranego pliku jest takie samo jak w artykule.

  32. Genialny wpis :-)

  33. A może to teraz jest ingerencja w systemy teleinformatyczne USA, co grozi jakąś atomówką Szczebrzeszyn?

  34. Następnym razem ktoś taki komunikat podmieni, albo od początku wystosuje taki, że ludzie myśląc, że walczą z botnetem sami się przyłączą.

  35. Art. 1 § 2 Kodeksu Karnego: “Nie stanowi przestępstwa czyn zabroniony, którego społeczna szkodliwość jest znikoma.”
    ;)

  36. @klapklap – gwałcenie dzieci poza granicami Polski też ma znikomą szkodliwość społeczną dla społeczeństwa polskiego, ale jednak koordynacja między porządkami prawnymi jest.

  37. zresztą wybotnetowanie Twojego komputera może mieć znikomą szkodliwość, ale stanięcie jakichś usług miejskich już może striggerować czyjeś poważniejsze wkurwienie.

  38. Nie chcę się czepiać, ale rozumiem, że to zaprzeczanie miało w jakiś sens was chronić przed odpowiedzialnością. Uważam, że semantyka jest jednoznaczna, a to ona często bardziej się liczy w sądzie niż syntaktyka. Przypominam jak się dowalili do dopalaczy pomimo, że mieli “jeśli dinozaur waży 40-50 kg, to bierze 1 tabletkę, jeśli dinozaur waży 50-80, to dwie”.
    Pozdro!

  39. Się ubawiłem przy czytaniu ! Więcej tego stafu…

  40. +1 Za finał z koniem ;)

  41. W poście oryginalnym jest lepszy “zachęcacz” :P Kto nie chciałby zobaczyć sobie pliku logo.gif? :D

    https://www.virustotal.com/pl/file/932d9b75ca20e8ab6f5ae98dd37eb8effd0eac83b5fa34678cd9f8d66a5d6d10/analysis/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.