Výskumníci zo spoločnosti Marshal identifikovali 6 botnetov, ktoré sú podľa ich dnešného vyhlásenia zodpovedné za 85% svetového spamu. O niektorých sme vás už informovali. Pozície jednotlivých botnetov sa výrazne menia každý týždeň. Momentálnym lídrom s podielom až 39% je Srizbi.
Srizbi trojan vznikol práve za účelom spamovania a nepatrí medzi tie najsofistikovanejšie ako Storm, Meda-D, či MayDay. V rebríčku však zaujal postavenie lídra a dnes sa podieľa až na 39% svetového spamu. Za ním nasleduje Rustock s 21% podielom, Mega-D s 9% podielom, Hacktool.spammer s 8% podielom, Pushdo so 6% podielom a niekdajší kráľ spamu, Storm s podielom len 2%.
Pozorným a pravidelným čitateľom blogu určite neušli dve veľké zmeny. Prvou je zostup botnetu Mega-D z “kráľovskej” pozície až na tretie miesto a obrovský prepad Stormu na poslednú priečku. Dôvodom, prečo sa drží Storm až na chvoste tabuľky si môžete prečítať v článku “Botnet Mega-D môže za 32% svetového spamu!“. Za prepadom Mega-D stoja výskumníci zo spoločností Marshal a SecureWorks, ktorí analyzovali jeho systém prijímania a vykonávania príkazov a zverejnili ho tu. Majitelia Mega-D reagovali okamžitým vypnutím botnetu, no koncom minulého týždňa sa botnet vrátil do pôvodného stavu a opätovne začal spamovať. Mega-D je známi hlavne zasielaním ponúk na tabletky pre zlepšenie mužského sexuálneho života. Po odstavení botnetu sa očakávala úplná eliminácia týchto ponúk, no nestalo sa tak. Zvyšné štyri botnety, Pushdo, Hacktool.spammer, Rustock, a Srzbi rozposielajú ten istý spam, ako Mega-D. Práve tento fakt napovedá o možnom prepojení majiteľov botnetov. Je celkom možné, že všetky botnety patria jednej skupine, ktorá sa snaží rozptýliť pozornosť anti-vírusových spoločností na viacero smerov, aby botnety nedopadli podobne ako Storm.
Podľa spoločnosti Marshal je posielaných približne 15% spamu z iných botnetov, ktoré dodnes neboli identifikované. Rovnako upozorňujú na fakt, že veľkosť botnetu nie je rozhodujúca pri posielaní spamu. Niekoľkokrát menší botnet Mega-D posiela mnohonásobne viac spamu ako Storm, ktorému sa dnes odhaduje závratná veľkosť, až 50 miliónov infikovaných počítačov. Opäť podľa spoločnosti Marshal je veľkosť botnetu určitý handicap pri posielaní spamu, pretože botnet potrebuje byť čo najviac nenápadný, aby mohol fungovať najdlhší možný čas. Len fungujúci botnet zarába svojim majiteľom peniaze.
Viac sa môžete dočítať v oficiálnom vyhlásení spoločnosti Marshal.
V kratkosti: autorovi blogu by som odporucil viac sa venovat studiu problematiky a menej preberaniu informacii z druhej ruky, ktorym beztak nerozumie.
dakujeme spolocnosti MS za spamy. Drviva vacsina (ak nie 100%) su napadnute stroje s windowsom
nicolas: autor si rad necha vysvetlit problematiku obsirnejsie, takze ktorej casti nerozumie? kludne sa rozpis, autor bude len rad
oooo: mozno by nebolo odveci, keby si mazal komentare, ktore nedavaju konstruktivnu informaciu (idealny stav by bolo zobrazovat v diskusii az tebou skontrolovane prispevky). odkazy na zdroje si uviedol a ja som rad, ze som sa o tejto sprave mohol docitat.
len tak dalej s blogom, paci sa mi tu.
oktm: dakujem za pochvalu. kazdopadne vsetky komentare prechadzaju pod nasimi rukami. jeho komentar som povolil prave preto, lebo ma zaujima co sa mu nepaci. viem ze nie je relevantny, ale som velmi zvedavy cim na mna vybehne. veru, zdroje som udal a clanok vznikol z originalnej spravy. takze ak ma niekto obvini, ze neviem co pisem, tak to by sa mal obratit na autorov originalu.
doplnene: aby som bol presny, nie prispevky moderujem, ale ludi. tzn, ak clovek dostane schvalneny comment, moze slobodne pisat. ak sa mi jeho commenty prestanu pacit, proste ho opat zablokujem. a preco ich tu nechavam? nuz, prave preto, aby aj ostatni mohli k teme nieco povedat, popripade ludim, ktori sem pisu. ja chcem vytvorit komunitu zaoberajucu sa bezpecnostou a k nej patria aj zaporne commenty. faktom je, ze tieto su skor bezduche, ale na druhu stranu, aj take obcas treba. pixy to poriesil takto http://pixy.cz/pixynergia/2008/mudrlanti/, ja som zvolil komentar povolit.
Tak jak ze se ty botnety vlastne siri??
Ja tehle problematice az tak moc nerozumim, ale myslim si, ze nejsem daleko od pravdy.
Ted jsem shanel nejakou firmu, co dobre plati za bannery a nasel jsem “http://www.xbanners.biz/”. Lakava nabidka 12$ za 10000 zobrazeni banneru, total members 5500 kusu. Tak jsem se zaregistroval a soupnul baner na stranku. Po par dnech koukam, jak mi pekne pribyvaji penize na ucet. Nejakou nahodou jsem na svuj web zavital pres IE a moje McAfee se ozvalo a vysypalo toto:
Detected: VBS/Psyme (Virus)
Detected: Exploit-MS06-014 (Virus)
Detected: JS/Downloader-AUD
A to me privadi na myslenku, jakym zpusobem se ty botnety vlastne siri. Dneska zpousta lidi zkousi nejaky ten “affiliate program” po par dnech mozna zjisti, ze neplati, zrusej banner a hledaji dale, jenze duslekdy moho byt daleko horsi. Ne ze jen nedostanou sve penize, navic jeste roznasi nakazu kolem. A pokud si nekdo takovy banner jako ja posadi na svuj navstevovany web, muze behem tech par dni nakazit tisice compu a nejen to, muze dostat spatnej ratting webu napr. od uzivatelu MCAfee a kterej bude uz dost tezko opravovat. Navic ztrata duvery od lidi, muze ve finale polozit i jeho web.
A tak si rikam, proc neexistuje nejaka firma, ktera by to kontrolovala a mela by pravo zasahnout treba tim zpusobem, ze by firmu sirici takoveto bannery smazala z DNS serveru nebo zablokovala IP, aby se k ni uz dalsi lide nedostali.
Ale nakonec je mozne, ze nikdo ani zasahovat nechce. Porad botnety jsou businnes a sypou penize a na druhou stranu existujou firmy, ktery se zabyvaji potlacovanim botnetu, antivirove firmy, ktere jsou taky jen businnesy a ktere nutne potrebujou sve protivniky ke sve existenci.
no k cemu by byla antivirova firma, pokud by neexistovaly viry?!
A kdyz nad tim ted tak premyslim, nevim jestli jste zaregistrovali, to deni kolem nodu32. Jeden cas velmi popularni antivir, ocenovany jako jeden z nejlepsich. pak se zacali objevovat crackle verze(mel ho snad kazdy slovak se kterym jsem prisel do styku) a maji ho jeste dnes. lidi si mysli, jak jsou v pohode, jak jim jejich antivir slape, jenze on uz davno nefunguje tak jak by mel. No a eset vydal o tridu vissi verzi. A tak si zase rikam, pokud vsichni tito uzivatele crackleho nodu maji stejnou virozu, jestli v tom nemuze mit prsty treba samotny eset(jen zamysleni, nikoho neobvinuji), nebo nekdo se zamestnansu, co rozumi jejich kodu.
Ja mam stesti, ze konspirace vidim vsude kolem sebe, jestli ja jsem se kdysi moc nekoukal na aktaX :-)
No tak ze tot ode mne vse, a pokud se web masteri priste vice zamyslite nez vlozite do svych stranek nejaky ten banner, nepsal jsem tento prispevek zbytecne.
so stay clean people
sweed: pekne zamyslenie, ale je to vacsinou trosku inak. ako vznikaju botnety si mozes precitat v clanku http://blog.synopsi.com/2007-12-04/najvacsi-ddos-utok-na-svete-so-silou-17-gbits-smeroval-na-slovensko
opisal som v nom, ako vo vacsine pripadov botnety vznikaju a nasledne aj funguju. samozrejme sposobov je vela a pred par tyzdnami jedna nemecka firma bola zavreta (zamestnanci, majitel) kvoli tomu, ze prave podobnym sposobom ako u teba rozsirovali virus.
preco neexistuje firma, ktora by zmazala dns? nuz preto, lebo by to bola totalita. kto by rozhodol, ze tvoja stranka je, alebo naopak nie je suca na zmazanie? prestav si, ze mam taku moc a ty zacnes robit stranku podobnu tej mojej. hadaj kto by bol zmazany. ja tiez vidim spiknutie vsade, sice nie tak ako niektori z mojho okolia, ale na druhu stranu, vidim vzdy aj druhu stranu micne. internet je momentalne ciastocna anarchia a to je dobre. kym nebudu korporacie rozhodovat kto a preco moze byt na internete, je fajn. co sa tyka esetu zarucujem, ze nic take nerobia. ich anti-vir je rovnako dobry, ako vsetky ostatne. pomoze vzdy len vtedy, ak je malware uz znami, co si mnoho ludi neuvedomuje. ak sa jedna o malware, ktory je specialne urceny pre uzku skupinu ludi, malware s automaticky morfovanym kodom, alebo jednoducho este neodhaleny malware, ziadny antivir ti nepomoze. preto ani ziadny nepouzivam, pre mna to nema zmysel. no a nakoniec co sa tyka virusov a kontra spolocnosti, mas uplnu pravdu. ak citas blog pozornejsie dlhsi cas mozes vidiet, ze dost o virusoch piseme. vacsina informacii pochadza od spolocnosti, ktore tieto virusy skumaju. oni taktiez nechcu byt bez prace, ale to mas tak vsade. keby neboli servery, neboli by administratori. keby neboli vyhladavace, nebolo by seo, atd. uz dlho sa hovori o tom, ze kaspersky si tvori, alebo nechava tvorit, tony virusov na ktore potom ma okamzite ochranu este predtym ako sa rozsiria. ci je to pravda neviem, no co viem je, ze vdaka tomu ze je z ruska ma pristup k tym najlepsim kuskom (ono sa aj suska ze je to byvaly KGB). takze asi tak sa to vsetko ma
jo a tady mala ukazka.
*deleted by admin*
Pokud by jste mi nekdo chtel vydelat nejakej ten dolarek ;-)
Upozornuju, funguje jen s IE a je zapotrebi mit kvalitni antivir, nejlepe zkouset z nejakyho virtualu, pokud si nechcete zavirit masinu.
nacham na adminovi, jestli tento prispevek ukaze
prepac, rad by som, ale nechcem nikoho poskodit (myslim z navstevnikov).