Метка «citadel»

Более недели назад Microsoft объявили о начале операции b54, направленной на выведение из строя ботнетов, построенных с использованием вредоносного кода Citadel. Операция, главным образом, преследует цель разрушения налаженной схемы по извлечению денежной прибыли из этих ботнетов злоумышленниками. Кроме этого, она включает в себя действия по очистке компьютеров от вредоносного кода ботов, совместно с ISP.

В рамках этой операции Microsoft выложили в открытый доступ материалы гражданских исков к John Doe (ответчики, точная личность которых пока не установлена). В одном из документов указаны предписания, согласно которым должна протекать эта операция. Ее суть сводится не к тотальному демонтажу управляющих серверов различных ботнетов (Citadel позволяет задавать конфигурации билдера таким образом, что каждый пользователь crimeware toolkit получает в распоряжение собственный ботнет из ботов, которые были созданы этим билдером), а к переориентированию ботнета таким образом, чтобы он не позволял злоумышленникам получать контроль над уже зараженной системой. Такая схема достигается с использованием приема перезаписи части контактной информации о доменах, к которым обращается бот Citadel (C&C) со стороны регистратора этих доменов.

Читать полностью »

Файловый инфектор

Идея заражения файлов получила свое развитие во вредоносной программе PE_LICAT (Murofet по классификации Kaspersky Lab), обнаруженной Trend Micro в октябре 2010 года. PE_LICAT представляет собой продвинутый дроппер Zeus, его основная функция — загрузка и запуск новых файлов Zeus с удаленных серверов. В исполняемые файлы внедряется 1771 байт вредоносного кода. PE_LICAT использует те же механизмы, что и в Zeus 2.1.0.10 — DGA с идентичным алгоритмом и процедуру проверки подписи загружаемого файла. Подробное описание DGA приведено в отчете Trend Micro «File-Patching ZBOT Variants» pdf, eng). Вкратце — В DGA используется функция создания хэша из Windows Crypto API. Список доменов формировался при запуске по специальному алгоритму путем хэширования текущей даты и минуты (час не использовался). Кстати, во многих источниках ошибочно пишут то 800, то 1020 уникальных доменов (эти константы действительно используются в алгоритме). На самом деле их было всего 60 в день (по количеству минут). Хэши переводились в ASCII коды и к ним добавлялись префиксы доменов верхнего уровня .biz, .info, .org, .com, .net, а также строка /forum. Следует отметить, что PE_LICAT не является вирусом в прямом смысле этого слова (как его классифицирует Kaspersky Lab) — он не способен самостоятельно заражать файлы. Запуск процедуры заражения файлов инициирует Zeus из семейства 2.1, получивший название TSPY_ZBOT.BYZ в классификации Trend Micro.
Читать полностью »

Intro

Бот Zeus, пожалуй, один из самых известных представителей вредоносного программного обеспечения. Zeus ведет свою историю с 2007 (или даже 2006) года. Многие ошибочно полагают, что Zeus — просто очередной троян, однако это не так. В действительности, Zeus представляет собой образец так называемого crimeware — программного обеспечения, предназначенного для совершения противоправных действий. В данном случае основное предназначение crimeware Zeus — кража учетных данных, используемых для проведения финансовых операций. По информации аналитиков, он отвечает за 90 % случаев банковского мошенничества в мире.
Другим заблуждением является утверждение о существовании одного огромного ботнета Zeus. На самом же деле Zeus лежит в основе очень большого числа – вероятно, нескольких сотен – различных ботнетов, и все они контролируются разными группировками киберпреступников. Создатели Zeus просто продают его заинтересованным лицам, а они уже с его помощью формируют собственные ботнеты. Таким образом, правильно говорить не о ботнете Zeus, а о ботнетах, созданных при помощи Zeus. Для отслеживания информации о командных серверах Zeus в феврале 2009 года Роман Хюсси (Roman Hussy), швейцарский специалист по компьютерной безопасности, создал сайт ZeusTracker.
Читать полностью »

Три дня назад на одном из испанских форумах появилась ссылка на Citadel 1.3.4.5.

image

Ответвление от линии ZeuS, названное Citadel и рекламируемое на нескольких полностью закрытых хакерских форумах — это еще один пример развития вредоносного ПО в форме сетевого сервиса.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js