Tag: sinkhole

Unieszkodliwienie botnetów Dorkbot

Data publikacji: 04/12/2015, piotrk

Wspólnie z firmami Microsoft oraz ESET i we współpracy z US-CERT/DHS, FBI, Interpolem i Europolem wzięliśmy udział w działaniach mających na celu unieszkodliwienie grupy botnetów Dorkbot. Kulminacja tych działań – destabilizacja botnetów – miała miejsce 3 grudnia. Dorkbot to złośliwe oprogramowanie, funkcjonujące w sieci od 2011, którego głównym celem jest kradzież danych (w tym danych uwierzytelniających), wyłączenie aplikacji bezpieczeństwa (np. programów antywirusowych) i dystrybucja innego złośliwego oprogramowania. Według wstępnych danych szacunkowych w ostatnim roku Dorkbot zainfekował co najmniej milion komputerów z systemem Windows na całym świecie, a średnia miesięczna infekcji wynosiła około 100 tysięcy maszyn. Wśród celów byli również internauci z Polski.
Czytaj więcej

Raport na temat botnetu Citadel plitfi

Data publikacji: 15/04/2013, Łukasz Siewierski

Pod koniec lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 3 domenami używanymi do zarządzania jedną z instancji botnetu Citadel oznaczoną plitfi. Botnet ten był skierowany głównie na polskich użytkowników. Cały ruch skierowany do serwerów C&C botnetu został przekierowany do serwera kontrolowanego przez CERT Polska.
Czytaj więcej

Raport na temat botnetu Virut

Data publikacji: 21/02/2013, Łukasz Siewierski

Na przełomie stycznia i lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 43 nazwami domenowymi z końcówką .pl, które służyły do zarządzania botnetem Virut, a także do rozprzestrzeniania złośliwego oprogramowania. W wyniku tych działań ruch z komputerów zarażonych złośliwym oprogramowaniem Virut do centrum zarządzającego (C&C) botnetu został przekierowany do serwera kontrolowanego przez CERT Polska. Informacje, które znajdują się w raporcie to między innymi:

    • Codziennie serwer rejestruje około 270 tysięcy połączeń z unikalnych adresów IP.
    • Prawie połowa zainfekowanych maszyn znajduje się w jednym z trzech krajów: Egipt, Pakistan lub Indie.
    • Polska znajduje się na 19 miejscu pod względem liczby zainfekowanych maszyn.
    • Działalność kryminalna botnetu Virut może być powiązana również ze złośliwym oprogramowaniem typu FakeAV.
    • Niektóre wersje botów posiadały algorytm generowania nazw domenowych (DGA) oraz szyfrowanie strumieniowie, które są dokładnie opisane w raporcie.
    • Byliśmy w stanie rozróżnić kilkadziesiąt wersji Viruta.
    • Virut infekował maszyny z ośmioma różnymi systemami z rodziny Windows, od Windows 98 aż do Windows 8.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.