vitus_wagner: My photo 2005 (Default)
vitus_wagner ([personal profile] vitus_wagner) wrote2013-03-21 07:56 am
  • Add Memory
  • Share This Entry
Entry tags:

Кто-то это всё-таки сделал

http://www.bbc.co.uk/news/technology-21860360
Реализовали ботнет, который кликает по баннерам. Правда, криво. Оно создавало избыточную нагрузку на пользовательские компьютеры, падало и в общем оказалось замеченным.

Тоньше надо работать, тоньше.

Нужно кликать по баннерам на тех сайтах, которые посещает пользователь, и нужно лучше маскировать канал управления ботнетом.
Чтобы анализ траффика зараженного компьютера не выявлял никаких особенностей поведения, и чтобы сам пользователь не замечал увеличения нагрузки.
Flat | Top-Level Comments Only

[identity profile] poor-sysadm.livejournal.com 2013-03-21 05:00 am (UTC)(link)
Кстати, нет ли ещё вируса, который прикрывал бы какие-нибудь забытые микрософтом баги, так чтобы после лечения антивирусом компьютер начинал бы работать ХУЖЕ?

[identity profile] qkowlew.livejournal.com 2013-03-21 07:12 am (UTC)(link)
В моей практике таких было минимум два.
Один - в Windows 3.11 насильно запускал smartdrv.exe, если тот не был запущен, и подменял в памяти кусок его кода на свой.

В результате антивирусы его не видели в файлах, однако получившийся код кеширования диска (заиимствованный, судя по многим признакам, из старого досовского лантастика) был эффективнее оригинального. Субъективная скорость работы возрастала существенно.

Второй попавшийся сравнительно недавно:

помимо прочего функционала, служил локальным прокси-сервером, подменяющим баннерную рекламу на сайтах и в рекламных окошках ICQ своей собственной. Так как блоки собственной рекламы он распространял среди экземпляров себя по p2p логике и "заранее", трафик на заражённой машине заметно уменьшался, а скорость работы интернета заметно возрастала

Демаскировало его то, что он принимал за баннер какие-нибудь элементы интефейса очередного сайта. :)

[identity profile] oledestin.livejournal.com 2013-03-22 01:13 pm (UTC)(link)
Epic win.

[identity profile] ziavra.livejournal.com 2013-03-21 11:32 am (UTC)(link)
Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера — просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе. (http://www.infosecurity.ru/_gazeta/content/090213/art4.shtml)

на самом деле, он там как-то хитро патчит, т.е. от остальных дыру закрывает, а свои копии узнаёт и устанавливает соединение.
http://www.symantec.com/connect/blogs/downadup-peer-peer-payload-distribution
Flat | Top-Level Comments Only