Megsemmisítette önmagát egy Zeus botnet

Titkosítás, biztonság, privát szféra

Nemrég derült fény arra, hogy április elején egy körülbelül 100 000 PC-ből álló botnet elpusztította önmagát miután a command szerverétől olyan parancs (KOS - Kill Operating System) érkezett, amelynek nyomán működésképtelenné váltak az irányítása alá tartozó zombi Windows gépek.

A botnet a "Zeus" névre hallgató, fillérekért (kb. 700 amerikai dollár) megvásárolható botnet toolkit-re épült. Hogy miért került sor az önmegsemmisítő parancs kiadásra, az egyelőre nem ismert.

A botnetet megfigyelő szakértő szerint nem kizárt, hogy konkurens bűnözők vették át felette az irányítást, de nem kizárható más ok sem. Például az, hogy el akarták távolítani az internetről egy időre azokat az áldozatokat, akiknek érzékeny adatait - például bankszámlájuk részleteit - a bűnözők megszerezték.

A részletek itt olvashatók.


pali@calypso:~$ sudo apt-cache search zeus
libzeus - Zeus-class botnet library
libzeus-dev - Zeus-class botnet library (development files)
zeus - the Zeus botnet (virtual package)
zeus-win32 - the Zeus botnet (win32 binary)
hades - a GNU implementation of the Zeus botnet
pali@calypso:~$ sudo apt-get install zeus-win32
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following extra packages will be installed:
  winxp-nopatch malware libbotnet libzeus keylogd
The following packages will be REMOVED:
  antivirus firewall windowsupdate
The following NEW packages will be installed:
  winxp-nopatch malware libbotnet libzeus keylogd zeus-win32
0 upgraded, 6 newly installed, 3 to remove and 0 not upgraded.
Need to get 872.3MB of archives.
After this operation, 1937.4MB disk space will be freed.
Do you want to continue [Y/n]?

( apostroph3 | 2009. 05. 12., k – 12:55 )

öntudatra ébredt, és azonnal öngyilkos lett.

( tombenko v | 2009. 05. 12., k – 13:06 )

Hihi. :)
--
Fight / For The Freedom / Fighting With Steel

( hunludvig v | 2009. 05. 12., k – 13:09 )

Vajon hányunknak kell majd a következő napokban meglátogatni öccsöt, hugot, nagymamát?

( bsh | 2009. 05. 12., k – 13:25 )

erről ez jutott eszembe, emlékeztem, hogy ezt nemrég láttam, és azt hittem, erről lehet szó, de nem úgy tűnik.

----------------------------------
feel the beat - it's everywhere!

( Vladi | 2009. 05. 12., k – 13:41 )

Azért ha belegondolok nem kis hatalommal bír egy ilyen bot(net).
Fogja és kivégez 100.000 gépet. Félelmetes. Ez azért már fenyegetés is lehet. Például egy terrorista kezében... :(

Mod: nem bírom megállni, még tovább megyek:
Nem kizárt, hogy ez csak egy erő demonstráció egy későbbi komoly fenyegetéshez.
Megzsarolni a világot, hogy holnap leállítunk mondjuk 3 millió gépet, ha nem kapunk ezt-azt. :S
>>: sys-admin.hu :<<

( Charybdis | 2009. 05. 12., k – 15:47 )

De hogy tudják távolról kinyírni a rendszert? Letörölnek minden fájlt, oszt ennyi?

deletes the HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE\Software and HKEY_LOCAL_MACHINE\System Windows registry paths as soon as it receives a kill command from the server. The drone then overwrites the virtual memory of Windows with zeros. This makes the operating system inoperable.

A Zeus botnet self-destructs

--
trey @ gépház

Napok óta szirénázva rohangálok Win* gépet javítani én is!!! :)
A legegyszerűbb ügy egy sima júzer volt, a durvábbak pl. munkavédelmis vállalkozó gépe,
víz/gáz/fűtésszerelő vállakozás gépe, legdurvább pedig a fogorvosi rendelő betegadatbázisa,
és az online TAJ rendszere...csukott szemmel is szinte csak hexa dump-ot látok elalvás előtt...:)
"Köszönhetően" a botnet ismeretlen üzemeltetőjének, ezerrel jönnek linuxért...
A víz/gáz/fűtés kiscéges géptulaj közölte, hogy a gépében volt 30k HUF XP,
és 17k HUF itt meg nem nevezett húdemenő vírusírtó csomag,
mégis oda a meló, tervrajzok, levelek,stb,...úgyhogy tele van a hócipője, kér egy linuxot.
-
"Attempting to crack SpeedLock can damage your sanity"

mindhárom fenti hozzászólásra reagálva:

-backup : átlag júzer ilyen ördögtől való dolgokat nem csinál,
inkább "meghal" a gépével együtt, hiába mondom...

-30kHUF XP: nem ma vette, és akkor még ténylegesen 30000Ft körül volt

-oda a meló, tervrajz, stb : persze, mert először kedves tulaj
nekiáll szinte mindennel, csak éppen fejszével nem a gépének,
barkácsol két napig, hegeszt össze-vissza mindennel, totálkárosra
összeb* még a partíciókat is, aztán amikor már végképp game over,
akkor felhív, hogy nagy baj van...

-fogorvosi adatbázis: nálunk tanult és idenősült arab fogorvos, warez arab xp (!!!),
rajta a TETFOG, és a teljes online OEP cucc...és ő is azt hitte, hogy ért a javításhoz...

Nem szoktam nyilvánvaló hülyeségeket írni...
Legdurvább eset a felhasználói hülyeségre és ártatlanságra az volt,
amikor lézernyomtatóhoz hívtak ki, a számítógép tőlem véve,
rajta a Linux, a márkás nyomtató villog, festék zsír új és fullon,
aztán kiderül, hogy a kazetta "USA only" modell,
(apróbetű, alján beütve festetlenül)
a nyomtató pedig "Please use EU cartridge only",
a kazettát pedig valami irodaházból bugázta "óccsón"
a tulaj biztonságiőr haverja, a hülye meg én vagyok,
mert azt sem érti hogy mi itt a probléma...:)
-
"Attempting to crack SpeedLock can damage your sanity"

XP otthoni
OEM Windows XP Home SP3 HUN 1pk 20 900+fa, ez a http://szoftverabc.hu oldalról származik. Igaz nem harminc, de nem sokkal olcsóbb és csak Home.

XP üzleti
OEM Windows XP Professional SP3 HUN 1pk 35 000+fa

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

( kumgabor v | 2009. 05. 13., sze – 08:18 )

Azért azon már többször elgondolkodtam, hogy hány Windowsos gépen lopják el mindenféle vírusok a személyes adataimat.
Csak pár példa:
- orvosi rendelőben Windows van, az összes OEP-es adat elérhető ott
- egy hárombetűs banknál a munkatársak nyugodt lélekkel dugozgatnak pendrive-ot a gépekbe, amin dolgoznak. Banktitok?
- sok önkormányzatnál is ugyanez a helyzet, tetézve azzal, hogy outlook expres-szel leveleznek
Szerintem készpénznek vehető, hogy a személyes adataink már nagyon régóta közkézen forognak pár ember idiotizmusa miatt.

--
Kum G.
www.pingvinbolt.hu

Anno egy meg nem nevezett L betűvel kezdődő textilipari, illetve "divatdiktátor" cégnél dolgoztam, s ott 3 éven keresztül nem találkoztam ilyennel.
A céges policy része volt még mondjuk, hogy:
-semmilyen mobil média nem volt olvasható / csatolható felhasználóknak
-.exe, .dll, stb fájlokat se megnyitni, se letölteni nem lehetett
- frissítéseket központilag végezték, SF -ből, illeteve Brüsszelből (Mo -n hozzá se nyúlhattak ehhez)
- Minden gép minden tevékenysége naplózva volt (erre egy popup figyelmeztetett a LOGON script futása alatt/közben/előtt, nem tudom)
- Transparent proxy, víruskergetés természetesen volt
- Csak VPN -en keresztül lehetett bármilyen irányba kommunikálni, aminek a gateway -e szintén az említett két városkában volt.

Bevallom, soha rendszerszintű meghibásodást, se vírust, se hasonlót nem lehetett tapasztalni. (Igaz, még az asztal hátterét sem változtathattad meg...)

szürkehrteg
azenoldalamponthu

Az ilyen "brusszelbol intezik a frissitest" azert jo, mert lattam mar gyarat, ami amiatt allt 3 napot, hogy a finn rendszergazda lefrissitette a rendszert Helsinkibol (ami mar nyugat, bar komp jar at Szentpetervarra), aztan elment nyaralni 1 hetre Thaifoldre... Szoval szeretjuk, jomegoldas. :P

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

Home user esetén vagy alapbol rendszergazdai jogokkal megy neki a vakvilágnak (90%), vagy indokolatlanul használja azt (2%), esetleg a feltelepített app. követeli meg ezt tőle (5%).
A maradék 3% -nak az ég egyadta világon semmi baja nincs; a többit meg sem a vírusirtó, sem tűzfal, sem alternatív OS nem fogja megakadályozni abban, hogy begyüjtsön valami szart.
Lásd itt is pl Cybernet barátunkat aki a crackelt TC -vel irányítja a hosting cégének tevékenységeit, majd aki nem ért vele egyet, azt szimplán lehülyézi. Ilyet láttam már számlázóprogram fejlesztőben is, aki nem értette, hogy miért akarja valaki rendszergazdai privilégiumok nélkül
futtatni a Windows -át...

A home user esetén elvileg a ráragadt tudásra -és a saját szellemi termékei, tárgyai tudatos védelmére- kellene hagyatkozni; gyakorlatilag viszont csak az értetlenésgre, meg a szomszéd W. Istvánra lehet...

szürkehrteg
azenoldalamponthu

Nálunk is volt olyan, hogy a nagyon központilag karbantartott rendszerben mindent lekapcsoltak, mert Németországban valami csúnya vírus járt körbe a cég szervereiben.

Nálunk vírus ugyan nem volt, de semmi nem ment, sem a saját belső hálón, sem mondjuk a nem windows szervereket nem lehetett elérni.

Persze megoldották 3-4 nap alatt (ennyi idő az irtáshoz kellett)

G

( wELDER v | 2009. 05. 13., sze – 11:06 )

hát, ő, nálam is van most egy gép, nem találja a windows/system32/config/system -et (registry hive), pedig ott van, fájlrendszerjavítgatás után sem, ez most akkor az?

mondjuk semmi adat nem veszett el azt még linux-ból simán le tudom menteni...