Дьявол в деталях или о "пользе" креативных названий

[ZmeyTF]

Небольшой пример исследований в области инфосекьюрити.

Данчо Данчев, известный и модный секьюрити исследователь. Что уникально практически, он очень хороший исследователь при этом. Болгарский бекграунд по идее должен был дать и хоть какие-то зачатки знания русского языка. Ну хотя бы, чтобы отличать китайские названия от русских.

Исследуя бизнес-модель ботнета Koobface, он используя общепринятые трудно проверяемые и доказуемые моменты, указывает на китайское происхождение банды развивающей ботнет. Все бы хорошо, но:

"The first phone back location urodinam.net/dfgsdfsdf .php - 122.224.9.67 adds a .bat file which would attempt to obtain mshta.exe from urodinam.net/33t .php?stime=1253063118 on hourly basis." Уродинам.нет это уж очень не китайское название. Краткий поверхностный анализ VoIP-коннекшенов показывает, что "откарженных" любимым российским способом "мелкая компания, не проводят анализ, просто ждут отзыва в течении суток, потом включают сервис" VoIP-ов, и просто взломанных подавляющее большинство. И только про "уродин" установлен явно в интересах одного ключевого абонента :о))) Краткое сравнение с распределением узлов Zeus на постоянно обновляющемся швейцарском ресурсе (ну а почему бы не проверять свои выкладки, сравнивая с итогами коллег?) только подтверждает мысль о чисто российских корнях этого ботнета :о))

Дьявол кроется в деталях, всего 1 слишком креативное название хоста и ... бесперспективное дело "о китайцах" вполне себе может быть раскопано :о)))

ht-tp://ddanchev.blogspot.com/2009/09/koobface-botnets-scareware-business.html

[CI-KP]

"The first phone back location urodinam.net/dfgsdfsdf .php - 122.224.9.67 adds a .bat file which would attempt to obtain mshta.exe from urodinam.net/33t .php?stime=1253063118 on hourly basis."

Дааа... Чисто китайское название :smile20: