MAS | Дата: Суббота, 14.06.2014, 10:45 | Сообщение # 1 |
Участник
Зарегистрирован: 16.08.2013
Группа: Пользователи
Сообщений: 67
Статус: Offline
| Ботнет ZeuS теряет силу
Швейцарский эксперт по безопасности Роман Хюссе, наблюдающий за активностью ZeuS-ботнетов при помощи системы слежения ZeuS Tracker, отмечает резкое уменьшение количества контролирующих центров этих сетей. Этот феномен Хюссе связывает с отключением провайдера Troyak-as.
9 марта количество активных контролирующих центров ZeuS-ботнетов упало с 249 до 181, а 11 числа их и вовсе осталось лишь 104. Соответственно снизилась и активность ботнетов.
Проанализировав "выпавшие" из учета ботнеты, Хюссе пришёл к выводу, что все их контролирующие центры хостились у нескольких провайдеров, которые выходили в Сеть через автономную систему TROYAK-AS Starchenko Roman Fedorovich (AS50215). Эти "надежные" провайдеры отличались тем, что их нельзя убедить отключить недобросовестных клиентов.
По состоянию на 9 марта Хюссе привел список из шести низлежащих автономных сетей, три из которых, судя по IP-адресам, находятся в Молдове, две в России и еще одна — на Украине. В каждой из них находилось от 5 до 18 контролирующих центров.
Как отмечалось выше, 11 марта перестали проявлять активность более 140 ZeuS-ботнетов. По словам Хюссе, обычно одна ZeuS-сеть состоит из 20-50 тысяч ботов. Но даже если исходить из 10 тысяч, легко подсчитать, что речь идет о полутора миллионах зараженных компьютеров, которые перестали получать команды от своих контролирующих центров.
За эти два дня Troyak успел появиться в Сети, подключившись к новому провайдеру, снова выпасть и опять появится. Доступ ему сейчас предоставляет ОАО "РТКомм.РУ", дочерняя компания "Ростелекома".
Хюсси считает, что пастухам пострадавших ботнетов уже не удастся восстановить контроль над ними. По его мнению, имея "надежных" провайдеров, они вряд ли задумывались над необходимостью держать резервные серверы.
С другой стороны, по мнению независимого ИБ-эксперта Данчо Данчева, радоваться в нынешней ситуации особо нечему. Поднять новый ZeuS-ботнет в экономическом плане куда проще, чем восстановить контроль над старым, говорит Данчев, так что отключение провайдера не может нанести серьезный удар по самой бизнес-модели преступников.
Однако, стоит учесть еще один аспект. ZeuS-ботнеты обычно пополняются за счет спам-рассылок с вредоносными ссылками. По данным Энди Фрида из компании Deteque, спам, имеющий отношение к ZeuS, неожиданно прекратился 27 февраля и до сих пор не возобновлялся. И причины этого пока неизвестны. -----
Добавлено (14.06.2014, 10:45) --------------------------------------------- Мне кажется, что спам рассылка zeus прекратилась из за того, что спамили не создатели zeus , а владельцы другого ботнета, создатели ботнета zeus просто заказали спам. А у тех, у которых заказывали спам, командный центр у них был установлен на том же Troyak-as. Или заказчики спама просто отменили заказ, так как контроль над ботнет сетью зеус был утерен и смысла распостронять троян не было.
За одну ночь нельзя изменить свою жизнь, но за одну ночь можно изменить мысли которые изменят твою жизнь. (MAS)
Сообщение отредактировал MAS - Суббота, 14.06.2014, 10:46 |
|
| |
Anton93 | Дата: Суббота, 14.06.2014, 19:56 | Сообщение # 2 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| MAS, во первых, Славик больше не занимается зевсом, и продал исходники. что сейчас с ним делают новые хозяева - я не знаю, в новых руках проект скорее всего просто не развивается. во-вторых есть куча альтернатив, которые не уступают зевсу, например SpyEye
ICQ: 41896
|
|
| |
MAS | Дата: Вторник, 15.07.2014, 22:02 | Сообщение # 3 |
Участник
Зарегистрирован: 16.08.2013
Группа: Пользователи
Сообщений: 67
Статус: Offline
| Цитата Anton93 ( ) во первых, Славик больше не занимается зевсом Кому он продал? Он тут же слил в паб, Слава сейчас каким проектом занят не знаешь? Откуда ты знаешь что слава? Говорили что создатель не в россии живет.
За одну ночь нельзя изменить свою жизнь, но за одну ночь можно изменить мысли которые изменят твою жизнь. (MAS)
|
|
| |
Anton93 | Дата: Пятница, 18.07.2014, 21:59 | Сообщение # 4 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| MAS, разработчикам SpyEye. говорят потом вышел гибрид SpyEye и зевса. в SpyEye был найдена часть кода зевса. на касперском много про это писали. и про самого славика, еще скрины продажи были с одного из приватных форумов. На счет того где он живет не знаю. но про него не одна статья точно. читал в свое вермя
ICQ: 41896
|
|
| |