ratNetw0rk Statistik

Mittwoch, 23. November 2011

Internet Water Army

Es ist immer wider erstaunlich wie weit der Osten dem Westen vor raus ist im Bereich Internet. HTTP Bots und Exploit Kits stammen vorwiegend aus dem Russischem Raum während im Westen noch bis 2005 mit IRC Bots gearbeitet wurde haben Russische Cyberkriminelle die Möglichkeit gefunden mit einem HTTP Bot der den Port 80 verwendet die Firewall zu umgehen und Exploit Kits für einen Drive by Download zu nutzten.

In Russland,Estland,Ukraine usw ist es gang und gebe Warez Admins dafür zu bezahlen das sie einen Iframe auf ihrer Seite einbauen. China steht dem in nichts nach und so werden User dafür bezahlt das sie in Foren ein Produkt hoch anpreisen oder das der Konkurrenz schlecht machen. Internet Water Army werden in China Nutzer genannt, die für Geld Produkte bewerten, Kommentare in Foren schreiben oder gezielt Informationen oder Gerüchte streuen.

Cheng Chen von der Universität in Victoria in der kanadischen Provinz British Columbia ist dem Phänomen auf den Grund gegangen - mit dem Ziel eine Software zu entwickeln, die bezahlte Forennutzer, sogenannte Paid Poster aufspürt, vergleichbar etwa einem Spamfilter.

Software spürt bezahlte Forennutzer auf

https://payperpost.com
http://www.paidforumposting.com/

Sonntag, 20. November 2011

Malware Programmierung Heute

Seit es die Cybercrime gibt die so um 2004 entstanden ist sind viele Verschiedene Arten von Malware im Internet Aufgetaucht. Ihre Funktionen gehen soweit das die besten Virenanalysten an ihnen verzweifeln können.

Zu den bekanntesten gehören
Storm Worm = Erster Bot mit Fast-Flux Technik
Rustock = Verwendet eine Inovative Rootkit Technik und Fast-Flux
Bredolab = Fast-Flux Botnet
Srizbi = Erster Bot mit Domain-Flux Technik
Sinowal = Ist die erste Malware die ein MBR Rootkit und Domain-Flux verwendet
Waledac = Peer-to-Peer Bot
Conficker = Domain-Flux Bot
SpyEye = Banking Trojaner
ZeUs = Baning Trojaner
StuxNet = Industriespionage Malware
TDL/TDSS = Ein Bot der ohne einen C&C Befehle entgegenehmen kann (Peer-to-Peer Bot mit Domain-Flux).

Aber wer sind die Köpfe hinter dieser Malware,bei ZeUs handelt es sich um eine einzelne Person mit dem Nick Slavik und bei SpyEye um Harderman. Eine Malware wie Zeus und SpyEye ist im vergleich zu StuxNet noch Relativ einfach zu Programmieren so das dieses eine Einzelne Person bewerkstelligen kann.Aber schon bei Rustock und Sinowal wurde Vermutet das es sich um eine ganze Gruppe Handelt die an einer Malware Arbeitet.

Auch bei Stuxnet scheint dieses der Fall zu sein da sein Funktionsumfang und Technik einfach zu groß ist um das es sich um eine einzelne Person handeln kann.Die Cybercrime entwickelt sich immer weiter und Stück für stück fangen sie an sich zu Teams zusammen zuschließen und ihr Wissen zu vereinen. Dieses Anschauliche Bild Zeigt das schon wie in einem Unternehmen zusammengearbeitet wird um Systematisch eine Malware zu Entwickeln die so lange wie Möglich unentdeckt bleiben soll.



20.11.2011 17:19 Uhr

MYBIOS. Lässt sich das BIOS infizieren?

Gerade treibe ich mich bei Viruslist.com herum und finde einen Interessanten Artikel über eine Malware die in der Large ist das Bios und den MBR zu Infizieren.Interessant dabei ist der Punkt das die Malware nur ein Award-Bios Infizieren kann,aber wird kein AWARD-BIOS verwendet, infiziert der Dropper den MBR. Damit funktioniert das Rootkit auf jedem beliebigen System, unabhängig vom Hersteller des BIOS. Aus dem BIOS gestartet, ist das Schadprogramm in der Lage, jede Etappe der Initialisierung des Computers und des Betriebssystems zu kontrollieren.

MYBIOS. Lässt sich das BIOS infizieren?

Die Möglichkeit, das BIOS eines Rechners zu infizieren, existiert schon relativ lange. Das Online-Magazin Phrack hat dazu einen der besten Artikel veröffentlicht und auf der Webseite Pinczakko gibt es ebenfalls viele nützliche Informationen.

Ein kleiner Ausschnitt aus dem Artikel.
Installation

Kaspersky Lab führt den Trojaner, um den es in dieser Analyse geht, unter dem Namen Rootkit.Win32.Mybios.a. Dieser Schädling verbreitet sich als ausführbares Modul und bringt alles zum Funktionieren notwendige bereits mit.

Die Liste der Komponenten:

Treiber für die Arbeit mit dem BIOS – bios.sys (Gerät \Device\Bios)
Treiber zum Verbergen der Infektion – my.sys (Gerät \Device\hide)
Komponente BIOS – hook.rom
Bibliothek zur Steuerung des Treibers bios.sys – flash.dll
Tool vom Hersteller für die Arbeit mit dem BIOS-Abbild – cbrom.exe


20.11.2011 13:44 Uhr