Как стать автором
Обновить

Комментарии 60

В апреле этого года ботам Zeus/Zbot была выдана команда под названием «KOS» — «Kill Operating System» в результате выполнения которой около 100,000 пользователей Windows увидели синий экран.

А если бы у этих 100 тысяч пользователей стояла программа Disk Write Copy с включенной защитой диска С, то они бы просто перезагрузились и продолжили работу без следа бота.
Более того — не было бы компьютера, проблем бы никаких не возникло.
*windows
НЛО прилетело и опубликовало эту надпись здесь
Гениальные мысли всегда остаются незамеченными)))
«переводили деньги со счетов пока жертвы перезагружали свои компьютеры. По мнению других экспертов, контрольные сервера Zeus'а были взломаны другой группой хакеров или владельцев другого ботнета, которая таким способом решила избавиться от конкурентов» — А может все было прозаичнее, отдали не ту команду. Ну или факир был пьян ;)
не, крайне маловероятны оба случая. Ботнет из 100к машин крупный, как правило общее управление идет группами, а КОС идет неявно (под 2-3 паролями, «секретным» урлом, etc), на всякий случай. Никому же не хочется свой биз случайно уничтожить.

А почему кильнули ботнет — без идей пока, может позже соображу (конкуренты, слив бабла — это туфта, конкуренты и так зашибись работают и киляют down-soft при установке своего, насчет 2-го — у всех уже по 5 ноутбуков, мобилы и т.д, контоль счета не катит)
Можно предположить две возможности, либо за задницу кого то взяли и были уничтожены следы, либо сеть увели и прежние владельцы его уничтожили. Еще есть вероятность того что не какой это не убивец системы, а просто ошибка (заюзали что нить недокументированное, и после обновления от мс все слетело). Но поддерживаю мнение что это полный бред насчет счетов и конкурентов, увести ботнет сама по себе задача сильно сложнее чем создать его, и уничтожать его после этого просто тупость.
KOS идет без каких либо доп-ных паролей (
НЛО прилетело и опубликовало эту надпись здесь
just for teh lulz!
наверное этот ботнет создали сами интернет провайдеры, а потом выключили все компы ну чтоб каналы там подразгрузить, профилактику провести:)
ты смейся смейся… а у нас…
… и тут же раздался звонок от абонента Уральского…
Читайте внимательнее, господа: «В АПРЕЛЕ этого года… „

Ну вот так кто-то из владельцев ботнета просто приколол на первое апреля, а потом поправить забыли =)
Разве не понятно? Вышел новый патчик к вирусу и для его применения надо было перезагрузить компьютер :)
Так много процентов пользователей используют компьютер 24/7? Так срочен апдейт?
А перед этим ntldr и иже с ними потерли, для успешного апдейта, ага.
долбоебизм. просто увели ботнет, или решили отомстить убив его. вы бы еще консилиум собрали на тему а нахера, да день херовый был может у ботовода. какой идиот это отпостил на хабюер, позновательно и интересно просто писец. вы бы еще новсоти с прогшлого года выложили.
Ежели увели — денег бы на нем срубили, зачем убивать то курицу несущую.
Увели, а СТАРЫЕ хозяева его кильнули — что-б не досталось тем кто увел. Теперь понятно?
Ну если увели — старые хозяева уже доступ к нему не имеют => ваша теория 99% неверна. Управление у ботнета централизованное. О управлении с нескольких админок — не слышал такого никогда.
Если не слышали — это не значит что такого не может быть.
А какой в них смысл?

И если доп. админка есть => бот дополнительно к ней стучится и управление при перехвате одного командного центра не критично. Написали патч, обновили со доп.админке и управление не потеряно.

Но держать 2 админку — это морока, надо найти второго безабузного прова, нагрузка вообщем увеличивается в 2 раза (ибо бот только сам отстукивается, забирает задания и т.д), бот чаще палится из-за дополнительных отстуков.

Вообщем не нужна доп.админка
Нет, зачем так — вторая админка за 7-мя замками и служит только для полного удаления ботнета — очень даже нормально.
Дык вы уровень функционирования ботнета не понимаете, из админки то до ботов никак не достучаться. Бот только лишь сам ВСЕГДА стучится в положенное время и забирает соотвествующие ему id задания/обновляется/что-то еще делает. В итоге дубль админки отпадает, один хрен куда-то стучаться надо, зачем дублить и создавать проблемы себе излишние. Итак мороки у технарей ботнета хватает.
Ну а смотрите — из второй «админки» есть возможность поставить скрытое задание к ботам, а первая адмнка сделана так что то задание не видно.

Тем более как написано что 100000 компов — это немного больше чем мои торрент трекеры.
Я хотел написать — немного больше чем на каждом из моих торрент трекеров на ПХП — 75000 пиров при анонсировании полчаса.
Не, тут основная фишка не в том, что это особо трудно техически сделать, а в нахождении 2 гарантированно-безабузного хостера под ботнет. Это очень сложно сейчас. Каналы у таких провов крайне ненадежны, медленные и т.п, основное физ.расположение — китай, филиппины, чутка вроде африка.

+ бот должен издавать как можно меньше внешних подключений, меньше палиться будет. И так насколько я знаю естественная убыль ботов (хорошо написанных и постоянно обновляемых) 2 года назад было ~30% в месяц, зачем еще эту цифирю увеличивать => уменьшать доход. Вообщем сложно это держать 2 админку тупо для удаления.

А по поводу для чего его кильнули — кажись я допонял. Изначально я забыл, что частенько боты (если они могут исходя из свойств сети) грейдят модулем SOCKS-proxy.

Из них если вязать по много штук (например от 10, от балды сказал) разнострановых в связке можно круто че-нить с помощью них «воровать» (секретные данные, счета и т.п) Вот когда черное дело глобальное (которое окупит с лихвой стоимость ботнета) через них пройдет — для супер заметания следов их и можно кильнуть. Это самое логичное объяснение.

Ну тут тоже еще вопросы остаются.
Почему сразу весь ботнет кильнули, а не только те, что учавствовали в «черном деле»?
И если надо замести следы то логичнее качественно потереть логи випером, а не убивать ОС.
Имхо тут все-таки была нештатная ситуация.
Видимо это заговор эникейщиков и сотрудников технической поддержки.
Эк они с этого нагрелись, к сотне тысяч пользователей сходить винду переустанавливать!
Вот она, пресловутая красная кнопка Обамы для выключения интернета!
репетируют
Что непонятного… опять для желтой прессы?
1) реально взломали ботнет и навредили владельцу
2) владелец наворовал пару лямов и решил замочить ботнет чтобы скрыть следы и поднять в будущем новую сеть
Может быть пресловутый «День Земли» праздновали? )
а моожет все наоборот?!
«владелец» бот нет-а решив покончить с прошлым закрыл «все странички с порно»?
PS хотя масштабы акции ОГОГОо!!!
>>>в результате выполнения которой около 100,000 пользователей Windows увидели синий экран.

а что увидели пользователи УБУНТЫ? (новость на хабре?) :)
Пользователи Убунты, очевидно, увидели очередное сообщение на тему — «шо-то мы недопоняли, что вы имели ввиду, сказав sudo. Повторите». Не, не хочу наезжать на убунту, классный дистриб, но реализация sudo и документация для тех, кто переехал с традиционных систем… Не по мне.
:) улыбнуло аля
sudo apt-get install zbot
Couldn't find any package whose name or description matched "zbot"
No packages will be installed, upgraded, or removed.
0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.


дяденька вы меня обманываете =((
apt-cache search z |grep -i bot
Убили и ладно, побольше бы таких суицидов.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Что-то я не совсем понял, о чем речь. В статье говорится, что просто был вызван экран смерти, в комментариях все обсуждают, что бот нет убил сам себя.
команда под названием «KOS» — «Kill Operating System»
т.е. убить Windows, а убивание вызывает BSOD.
К тому же после переустановки винды ни о каком бот нете на этих компах уже и речи не идет.
Проснулась гражданская сознательность.
НЛО прилетело и опубликовало эту надпись здесь
Как вариант, военные тренируются на кошках. Отладка методики быстрого схлопывания компьютерного парка.
Да это они День Земли отметили.
Админы пили… меняли пароли… убивали ботнеты…
И что, у вас таки был синий экран?
… в результате выполнения которой около 100,000 пользователей Windows увидели синий экран. Только вот не совсем понятно, зачем владельцам ботнета понадобилось «убивать» подконтрольные им компьютеры.
Всем понятно, а ему непонятно?!
Когда ж от этой дряни винды избавятся-то наконец?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Зевс ориентирован на кражу приватной информации. А KOS — это доп фишка, чтобы убивать систему холдера, для того чтобы отвлечь его он своего банковского счёта, с которого в это время злоумышленник делает перевод.
А было ли событие? Ну написал какой-то товарищ на своём сайте, что произошло, — так не факт что это было на самом деле.
А реально в России создать свой ботнет и не попасть в окуляры отедла «К»?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.