Захват по-голландски

Re:

Вовсе нет. ЛК детектирует Afcore с конца 2002 года. За прошедшее время он много раз видоизменялся и совершенствовался, операторы ставили ему разные задачи, хотя кража банковских данных, похоже, являлась его основным назначением - см. блестящую историографию у Гарри Уорнера http://garwarner.blogspot.com/2011/04/bold-fbi-move-shutters-coreflood-bot.html.

А добрались до ботнета лишь сейчас, когда наработан определенный опыт борьбы с такими криминальными инструментами. Знаменательно, что правовое урегулирование данной акции взяло на себя правительство.

К сожалению, не все резервные домены, связанные с командной инфраструктурой Coreflood, удалось захватить: многие зарегистрированы за рубежом. Пока также не понятно, остались ли еще где-нибудь CnC, с которыми могут связываться активные боты. Ведь за пределами США тоже есть зараженные ПК. Да и не все американцы, наверное, сразу согласятся на вмешательство со стороны государства - как же, прайвеси! Здесь федеральные власти очень грамотно сработали, предусмотрев для владельцев зараженных машин опцию отказа от подписки на всеобщую kill-команду (то бишь внесение модификаций в компьютерные системы персонального и корпоративного пользования).

Re:

(c) [Coreflood] One of the oldest botnets in continuous operation (+6 years)
URL: http://www.secureworks.com/research/threats/coreflood
Date: June 30, 2008
Author: Joe Stewart, Director of Malware Research, Dell SecureWorks

(c) The first proxy-based spam botnet was Sobig, circa 2003, and it was quite impressive for its day... Around 2004 we saw the first template-based spamming botnets.
URL: http://www.secureworks.com/research/threats/topbotnets
Author: Joe Stewart, Director of Malware Research, SecureWorks

Еще? Гуглим навскидку:

(c) The [Blaster/Lovesan] worm was programmed to start a SYN flood on August 15, 2003 against port 80 of windowsupdate.com, thereby creating a distributed denial of service attack (DDoS) against the site.
http://en.wikipedia.org/wiki/Blaster_(computer_worm)

(c) ...[Dutch] authorities found that the [botnet] operation had put about 1.5 million computers and servers under its control.
http://www.v3.co.uk/v3-uk/news/1944019/botnet-operation-controlled-15m-pcs
21 Oct 2005

(c) A network of more than 10,000 zombie PCs has been dismantled after security staff at Norwegian telco Telenor located and shutdown its controlling server.
http://www.theregister.co.uk/2004/09/09/telenor_botnet_dismantled/
9th September 2004

(c) Historical list of botnets - 2004 (Early) Bagle
http://en.wikipedia.org/wiki/Botnet

исправлено: Татьяна Никитина, 16 апр 2011, 16:26

Re: Re:

Джо Стюарт еще тот "эксперт", ага

Re: Re: Re:

ОК, обратимся к более надежным авторитетам ))

(с) Проблема ботнетов
Данная проблема существует уже несколько лет: первые крупные сети из зараженных компьютеров появились на 'черном рынке' андеграунда в 2002 году.
http://www.securelist.com/ru/analysis/161838336/Sovremennye_informatsionnye_ug rozy
11 апр 2005
Александр Гостев

Re: Re: Re: Re:

Тем более, легко проверить и убедиться, сколько из них (на червях FunnyPics, Roron и т.п.) просуществовали хотя бы год-два. Не говоря уж о том, чтобы прожить 10 лет. Думаю, не сильно ошибусь, если назову число 0. А Саныч подтвердит или опровергнет. :)

Re: Re: Re: Re:

А мы какое утверждение тут рассматриваем ?
я прекрасно помню Афкор в 2003 году, и кажется даже то описание его, что у нас есть, было написано как раз мной. Но это не был ботнет. И Lovesan тоже не был ботнетом :)

То что сейчас называют ботнетом Афкора - не имеет никакого отношения к коду 2002-2003 года. Ну и заявление что все эти годы за ним стоят одни и те же люди - я никак подтвердить или опровергнуть не могу.

Re: Re: Re: Re: Re:

Я, как всегда, увлеклась квестом, упустив из виду, что предметов разногласий два:
1 - 10-летний стаж поверженного ботнета Coreflood, на котором настаивают американцы;
2 - тезис сэра С.Е.Climentieff , будто "8-12 лет назад и слова-то такого не было - "ботнет".
За последний-то я в пылу правдоискательства и уцепилась, ибо проверить утверждение американцев пока нечем.

Бластера после долгих колебаний приплела до кучи, каюсь.
Интересно было бы определить, когда в ЛК появилась первая публикация о ботнете, сформированном на основе конкретного зловреда? Кто-нибудь может сказать?

В целом понятно, что мелкие ботнеты не имеют таких шансов на долголетие, как масштабные, хотя последние, чтобы выжить, постоянно совершенствуются.

Re: Re: Re: Re: Re: Re:

Ну, я тоже теперь не уверен в терминологии. То, что 10-12 лет назад термина "ботнет" не было - это 100 пудов. То что 8 лет назад... не знаю. По крайней мере, тема активно поперла где-то во второй половине 2003 г., тогда же и терминология, видимо появилась. Как это называлось в 2002 г., о чем упоминал Саныч... может и "ботнетами", сейчас уже не проверишь.

Если же рассуждать на тему, когда появилась _идея_ и первая живая _реализация_ ботнета, то, скорей всего это "червь Xerox", вместо ботов - "мобильные агенты", 1980 г. Только не надо говорить, что существуют ботнеты возрастом в 31 год. :)

Re: 10-летний стаж поверженного ботнета Coreflood

О! Зарубежные СМИ тоже засомневались в правильности формулировки ФБР и американского мин'юста:
"The code to control it [Coreflood botnet] has been around for nearly a decade" - http://www.v3.co.uk/v3-uk/analysis/2044502/coreflood-botnet-shutdown-raises-concerns-government-tactics.
Хотя должна заметить, что англоязычные авторы вообще обращаются с термином "ботнет" весьма небрежно, часто употребляя его вместо "бот".

Интересно, а это они откуда выкопали?
"some estimates suggest that it was responsible for up to a third of spam at one point"