Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
Windows User Group - Slovak Republic
prihlásenie
meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí
február 2024 marec 2024 apríl 2024
po ut st št pi so ne
26 27 28 29 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
dnes 29.03.2024 dnes 29.03.2024

kto je online?
počet anonymných užívateľov: 11
počet prihlásených užívateľov: 0

Top 10 najčítanejšie
1.Vytvorenie USB boot jed...
2.Oprava MBR sektoru bez ...
3.Windows 7 download
4.HTPC alebo ako si posta...
5.Windows 7 RC v slovenč...
6.Konzole pro zotavení v...
7.Panika menom Conficker
8.Platené vs Zadarmo
9.Inštalujte Windows z U...
10.Windows 7 RC download -...

Windows User Group - Slovak Republic

Mariposa  BotNet - opäť na vzostupe
Windows User Group - Slovak Republic
Bezpečnosť > Virusy

Mariposa BotNet - opäť na vzostupe

Windows User Group - Slovak Republic

V apríli 2011 výrazne stúpol počet infikovaných počítačov botnetom Mariposa (Motýľ). To by nebolo nič zvláštne keby tu daný botnet neexistoval od decembra 2008. čím je špecifický?


Nuž je to hlavne tým, že vo svojej podobe s drobnými úpravami existuje od 2008 roku. V súčasnosti sa prioritne šíri 2mi spôsobmi - cez vírus W32 Virut (INF/Autorun (ESET) alebo W32/Autorun.worm (McAffe)) a cez p2p červa Win32.Palevo.

Botnet Mariposa alebo Butterfly Bot Kit vytvorili pôvodne ľudia z DDP Team (Días de Pesadilla Team - Nightmare Days Team), ktorých zatkla španielska polícia vo februári 2010. Členmi boli Florencio Carro Ruiz alias Netkairo (31), Jonathan Pazos Rivera alias jonyloleante (30) a Juan Jose Bellido Rios alias Ostiator (25) predpoklad, keďže činnosť Mariposy sa nezastavila, však je že korene botnetu sú v Rusku alebo na Ukrajine.

Prečo sa niečím tak starým zaoberať?

Nuž je to jednoduché v apríli 2011 vzrástol počet zombie PC (počítačov zapojených do botnetu) zapojených do Mariposy na 2 milióny infikovaných počítačov.

V marci 2010 bol botnet skoro zničený, oproti decembru 2009, keď počet zombie PC bol niečo okolo 13 miliónov v 190 krajinách sveta, klesol počet pc v botnete na niečo okolo 230 000.

V súčasnosti sa primárne šíri varianta cez Palevo P2P alebo cez novú variantu Win32/Virut.

Detekujú ich skoro všetky antivírové programy, horšie to však je z odstraňovaním. Najviac problémov je so serverovými verziami OS Windows 2000 - 2008.

 

palevo-stringdump-usb_110708.jpg

 

Obr. Dump stringu Palevo

 

Automaticky si dokážu s niektorými variantami infektorov Mariposy, P2P Palevo aj Virut, poradiť programy Malwarebytes a SpyHunter. Niektoré varianty treba vyriešiť manuálne s právami administrátora.

 

Takže stručný návod ako to vyriešiť pri infektore Palevo.

 

1.) zastavte proces antispy.exe (%UserProfile%\Application Data\antispy.exe) cez Task manager alebo cez Process Explorer (Sysinternals)
2.) vymažte daný súbor - %UserProfile%\Application Data\antispy.exe
3.) vymažte z registrov všetky záznamy k danej infiltrácií
HKEY_CURRENT_USER\Software\Malware Defense
HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\SimpleShlExt
HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 'DisableTaskMgr' = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 'SelfdelNT'

4.) vymažte zostávajúce odkazy a súbory
%Documents and Settings%\[UserName]\Start Menu\ About.lnk
%UserProfile%\Application Data\antispy.exe

Po reštarte Windows odporúčam pustiť kontrolu antivírovým programom, najlepšie z live CD.

 

palevo18_110708.jpg

 

Obr. Whireshark dump stringu Palevo

 

Proces ako sa manuálne zbaviť infektora Virut alebo INF/Autorun:

1.) Nastavte zobrazenie skrytých a systémových súborov (poprípade ak máte, použite TotalComander)

2.) Nájdite súbor autorun.inf a editujte ho.

3.) podľa zadanej cesty vymažte priečinok a následne aj daný autorun.inf

4.) reštartujte PC

Po reštarte Windows odporúčam pustiť kontrolu antivírovým programom, najlepšie z live CD.

 

autorun_110708.jpg

 

Obr. Autorun.inf

 

Charakteristika Mariposy:

 

1. Polymorfia kódu
2. Inštalácia ako skrytý - v koreňovom adresári vytvorí súbor autorun.inf, a adresár s rootkitom
3. Direct code injection do explorer.exe (DCI)spravý infiltráciu súboru explorer.exe čo je vlastne GUI Windows(nie Internet Explorer) čím si zabezpečí štartovanie a beh
4. Spúšťanie cez registre (Windows s UAC)
5. Kontrola executable file aby sa predišlo zmazaniu súborov botnetu antivírom alebo užívateľom
6. Kontrola bežiacich procesov.
7. Obrana Anti-x - proti vmware, virtualpc, debugger 1 & 2, anubis, TE, sandbox, norman sandbox, sunbelt sandbox
8. Kontrola komunikačných protokolov
9. Aktualizuje sa a bráni aktualizácií OS a antivíru
10. TCP (SYN) a UDP flood
11. kradne heslá z Firefox 2.x, Firefox 3.x, Internet Explorer 6, Internet Explorer 7, Chrome, Opera 9.x, 10.x
12. Reverse Socks4, Socks5, HTTP socks


Pre záujemcov odporúčam prácu Matta Thompsona -Mariposa Botnet Analysis z februára 2010 kde je popísaný celý botnet.

 

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Redhawk | piatok 08. júla 2011 08:28 | Prečítané: 6074 x | neohodnotené |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
vyhľadávanie

partneri

2 % od Vás pre WUG
2 % od Vás pre WUG

sponzori






Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 Windows User Group Slovensko

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak Republic