Создатели Conficker'a поднимают бабло на фарме

FORUMS

MEMBERS

RECENT POSTS

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > ОФФТОП > Болталка
Создатели Conficker'a поднимают бабло на фарме

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

Создатели Conficker'a поднимают бабло на фарме

10.04.2009, 23:46

Vid0k

Постоянный

Регистрация: 24.12.2007

Сообщений: 574

С нами: 9674246

Репутация: 316

Создатели Conficker'a поднимают бабло на фарме

Как мы отмечали вчера, ботнет Кидо установил на зараженные компьютеры другого известного червя — Iksmas aka Waledac.

Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.

Вариант, который был загружен Kido, детектировался Антивирусом Касперского проактивно, при помощи эвристических технологий, как HEUR:Worm.Win32.Generic. Точно так же, эвристически (HEUR:Worm.Win32.Generic) детектировался и сам новый вариант червя Kido (Net-Worm.Win32.Kido.js).

Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры.

За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама.

Весь спам, прошедший прошлой ночью через ботнет, представлял из себя рекламу фармацевтических препаратов. Вот несколько произвольно выбранных примеров писем:

Код:

Subject: A unique opportunity to live healthier life!
Hot News for You http://ie.hipraputt.com/

Subject: Add power to your man's hammer
We supply porno studios since 1972. Try blue-pills and stay up with your girls! ^M
http://bv.relaxkind.com/

Subject: Hot life - our help here. Ensure your potence today!
Solution to low-sized perks http://bj.jilfawris.com/

Subject: Perfect solutions to have it hard as stone!
Your one and only online Chemist. http://zer.jilfawris.com/

Subject: She will dream of you days and nights!
Love her everywhere. http://lrmt.jilfawris.com/

Всего за 12 часов работы одного единственного бота он отправил 42’298 спам-писем.

Как вы можете заметить, в спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.

Нами было зафиксировано использование 40'542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки.

Вот пара скриншотов с данных сайтов:

Полный список доменов второго уровня, использованных в рассылке:

Код:

aromatangy.com
calmchic.com
crisppride.com
cykduhdao.com
deblanf.com
eslihos.net
fabjust.com
fadvyil.com
fadvyil.net
faynetr.com
goodcure.at
gooddoctoronline.at
gooddoctorscare.at
gooddoctorsite.at
gooddoctorworld.at
gooddruginfo.at
gooddrugonline.at
gooddrugsite.at
gooddrugworld.at
goodearthlawncare.at
gotbake.net
hereftu.net
hipraputt.com
jilfawris.com
kepiseu.com
kepiseu.net
multinew.com
plumppeak.com
relaxkind.com
uljyelsel.com
vapshei.net
yuleaware.com
zwefopcyn.com

Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных.

Простой математический подсчет показывает, что один бот Iksmas отправляет примерно 80'000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5'000'000, то получается, что за одни сутки этот ботнет мог разослать примерно 400'000'000'000 (400 миллиардов!) писем со спамом.
Сабж
шаблончик у магазина больно знакомый

𝕏 Twitter Reddit Telegram Копировать ссылку

Последний раз редактировалось Vid0k; 10.04.2009 в 23:52..