RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→27 окт 2010→Голландцы наголову разбили Bredolab
Голландцы наголову разбили Bredolab
В Нидерландах обезврежены 143 веб-сервера, входившие в состав ботнетов Bredolab (в классификации ЛК Backdoor.Win32.Bredolab).
Операция была проведена совместными усилиями национальной группы быстрого реагирования на компьютерные инциденты (Computer Emergency Readiness Team, CERT), спецподразделений голландской полиции, специалистов по сетевой безопасности и хостинг-провайдера, в сетях которого были обнаружены эти серверы. По словам эксперта ЛК Александра Гостева, один из операторов Bredolab уже арестован. Владельцам компьютеров, которые удалось идентифицировать в рамках «засвеченных» ботнетов, будут высланы уведомления о заражении и инструкции по очистке ресурсов.
Bredolab появился на интернет-арене летом прошлого года. Этот зловред распространяется через каналы электронной почты и посредством drive-by загрузок. Функционал бэкдора, которым он наделен, позволяет злоумышленникам установить полный контроль над зараженным ПК и загружать на него дополнительные вредоносные программы: кейлоггеры, лжеантивирусы, спамботы, руткиты и т.п.
По оценкам экспертов, за время своего существования Bredolab поразил не менее 30 млн. пользовательских компьютеров. В конце прошлого года ботнеты-спамеры, в первую очередь Pushdo, за сутки генерировали до 3,6 млрд. сообщений, заряженных этим бэкдором.
|
27 окт 2010, 13:11
update Новое заявление голландской полиции, подтверждающее арест держателя одного из ботнетов Bredolab, - http://www.om.nl/actueel/nieuws-_en/@154346/wanted_botnet/. исправлено: Татьяна Никитина, 27 окт 2010, 20:22 |
|
27 окт 2010, 13:56
|
27 окт 2010, 15:00
Вот ещё пишут, что из всех серверов только один работает: http://blog.fireeye.com/research/2010/10/bredolab-severely-injured-but-not-dead.html |
|
0 |
Re:
Угу, проверила. У него московский IP (Вилайн Телеком), а домен зарегистрирован в зоне Кокосовых островов (которые всем дают) какой-то частной владелицей фирмочки в штате Вирджиния.
Неужели они все яйца в одну голландскую корзину положили??
FireEye пишет, что все известные активные серверы Бредолаб (кроме российского) молчат.
исправлено: Татьяна Никитина, 27 окт 2010, 21:15
|
0 |
Re: Re:
Я вот тоже удивился насчёт "корзины". Но, похоже на то, что так и есть. Вообще, я подозреваю, что в "ЛК" должна быть такая статистика.
|
0 |
Re: Re:
...вот и Симантек засёк действующий Бредолаб. Зона .RU, домен и IP замазали: http://www.symantec.com/connect/blogs/bredolab-still-wild
|
0 |
Re: Re: Re:
Вот тут http://www.thetechherald.com/article.php/201043/6346/Researchers-Bredolab-still-lurking-though-severely-injured-Update в апдейте пишут, что домен вовсе не .ru, а .com. Зарегистрирован на какого-то китайца с невнятными координатами, а хостится у того же Вилайн.
|
1 |
|
0 |
|
1 |
Re: Re: Re: Re:
Атиф Муштак из FireEye и Роудел Мендес из М86 тоже увидели Oficla - http://blog.fireeye.com/research/2010/10/bredolab-its-not-the-size-of-the-dog-in-fight.html. Муштак не искючает, что Бредолаб проводит спам-рассылки, нацеленные на распространение Sasfis.
Муштак обнаружил третий живой CnC домен, в зоне .net. Зарегистрирован 20 октября жителем Орска, отдает команду на загрузку лже-антивируса. Сервер размещен на территории Казахстана.
Кстати, второй, что принадлежит китайцу, тоже свежий, от 4 октября. Первый, "кокосовый", функционирует с конца июля.
|
30 окт 2010, 10:39
Подробности про задержанного в Армении http://www.aysor.am/ru/news/2010/10/27/hacker-arrest-armenia/ |
|
0 |
Re: Подробности про задержанного в Армении
Спасибо, видела. Посмотрим, не сдаст ли Аванесов своих арендаторов. Любопытно также, чем все закончится для него самого.
|
0 |
Re: Подробности про задержанного в Армении
Ха, в числе арендаторов ботнета, который создал Аванесов, были фармаспамеры "партнерки" SpamIt - http://krebsonsecurity.com/2010/10/bredolab-mastermind-was-key-spamit-com-affiliate/. Чем дальше, тем интереснее.
Ссылки по теме
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».