Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





Tíz nap a botnettel

(2009. május 05.)

- Ars Technica, UC Santa Barbara -

Belülről vizsgálták a kutatók a Torpig trójai hálózatának működését.
Nyomtatható verzió Nyomtatható verzió

Érdekes kártevő témájú tanulmányt tettek közzé a kaliforniai Santa Barbara Egyetem számítástudományi karának munkatársai, akik idén év elején másfél héten át testközelből vizsgálták egy veterán botnet működését.

A jelszavak és egyéb online azonosítók begyűjtésére specializálódott Torpig (más néven Sinowal) kártevő 2006-ban kezdett szabadon terjedni - újabb és újabb változatai azonban még mindig nagy mennyiségű otthoni gépet tartanak uralmuk alatt, így ez a hálózat feltétlenül tanulmányozásra érdemes, annál is inkább, mert gazdái hozzáértő hackerek, akiknek feltehetőleg a Mebroot nevű rejtőzködő kártevő létrehozása is "köszönhető".

Saját fegyverükkel támadtak a botmesterekre

A kaliforniai egyetemi csapat a Torpig botnet egyszerű megfigyelése helyett "puccsal" próbálkozott és egy időre sikerült átvenniük a hatalmat a trójai kód által központilag irányított zombi gépek százezres serege felett.

A kutatók a Torpig-et irányító hálózat egyik speciális tulajdonságát használták ki a vezérlés eltérítéséhez. A nehezen leállítható "fast flux" típusú rendszerben a hackerek úgy alakítják ki a modern botnetek vezérlését, hogy a trójai programok a saját víruskódjukba rejtett algoritmussal akár naponta új doménneveket (webcímeket) generálnak és ezek valamelyikéhez kapcsolódva várják a botmesterek parancsait.

A hackerek természetesen előre ismerik ezt a listát - hiszen ők maguk programozták a webcímeket generáló algoritmust - így nincs akadálya annak, hogy a kellő időben bejegyeztessék maguknak valamelyik címet ezek közül és onnan terjesszék az újabb vírusváltozatokat, vagy a spamküldésre, hálózati támadásra utasító parancsokat.

Gyorsabbak voltak a hackereknél

A Torpig esetén sikerült feltörni a címgeneráló algoritmust, vagyis a kutatók rájöttek, miként hozzák létre a hackerek a vezérlő webhelyek neveit. A programozók gyakran a számítógép belső órájában tárolt dátumot és a pillanatnyi időpontot használják kiindulásként, ha véletlenszerűnek látszó adatsorokat kell generálniuk.

A trójai kártevő készítői is így tettek, de beiktattak egy csavart: az óra mellett a manapság igen felkapott Twitter nevű weblog-szolgáltatás adatait is felhasználták a minél véletlenszerűbb eredmény eléréséhez. A Twitter két nappal korábbi legdivatosabb keresőtémájának második betűje részt vesz a botnet-webhelyek nevének kialakításában.

Ezekből az információkból kiindulva a Santa Barbara Egyetem kutatói előre kiszámoltak és lefoglaltak egyes Torpig címeket, ami lehetővé tette, hogy tíz napon keresztül első kézből figyeljék az oda kapcsolódó mintegy 180 ezer fertőzött gép működését. A nyolctagú csapatnak sikerült összesen 70GB adatot lementeni a botnet-hálózatból, mielőtt a vírusírók egy új frissítéssel visszavették a rendszer feletti ellenőrzést.

Az adathalmaz vizsgálata számos tanulsággal szolgált:

Cikkünk a következő oldalon folytatódik, a továbblapozáshoz kérjük kattintson ide!

  |  1/2  |   következő oldal


Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.