ZmeyTF Опубликовано 17 сентября, 2009 Поделиться Опубликовано 17 сентября, 2009 Небольшой пример исследований в области инфосекьюрити. Данчо Данчев, известный и модный секьюрити исследователь. Что уникально практически, он очень хороший исследователь при этом. Болгарский бекграунд по идее должен был дать и хоть какие-то зачатки знания русского языка. Ну хотя бы, чтобы отличать китайские названия от русских. Исследуя бизнес-модель ботнета Koobface, он используя общепринятые трудно проверяемые и доказуемые моменты, указывает на китайское происхождение банды развивающей ботнет. Все бы хорошо, но: "The first phone back location urodinam.net/dfgsdfsdf .php - 122.224.9.67 adds a .bat file which would attempt to obtain mshta.exe from urodinam.net/33t .php?stime=1253063118 on hourly basis." Уродинам.нет это уж очень не китайское название. Краткий поверхностный анализ VoIP-коннекшенов показывает, что "откарженных" любимым российским способом "мелкая компания, не проводят анализ, просто ждут отзыва в течении суток, потом включают сервис" VoIP-ов, и просто взломанных подавляющее большинство. И только про "уродин" установлен явно в интересах одного ключевого абонента :о))) Краткое сравнение с распределением узлов Zeus на постоянно обновляющемся швейцарском ресурсе (ну а почему бы не проверять свои выкладки, сравнивая с итогами коллег?) только подтверждает мысль о чисто российских корнях этого ботнета :о)) Дьявол кроется в деталях, всего 1 слишком креативное название хоста и ... бесперспективное дело "о китайцах" вполне себе может быть раскопано :о))) ht-tp://ddanchev.blogspot.com/2009/09/koobface-botnets-scareware-business.html Ссылка на комментарий Поделиться на другие сайты More sharing options...
CI-KP Опубликовано 17 сентября, 2009 Поделиться Опубликовано 17 сентября, 2009 "The first phone back location urodinam.net/dfgsdfsdf .php - 122.224.9.67 adds a .bat file which would attempt to obtain mshta.exe from urodinam.net/33t .php?stime=1253063118 on hourly basis." Дааа... Чисто китайское название :smile20: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.