Forskare på University of California har lyckats ta sig in i Torpig-bottnätet (Symantec kallar den Mebroot). De har dissekerat och skrotat runt lite. Det är faktiskt ganska intressant att se hur de är uppbyggda och vilka enorma mängder data de samlar in från offren.
Just detta botnät består av ca 180 000 (!) datorer och under de 10 dagar forskarna studerade nätet aggregerade det hela 70 GB data! Med tanke på att det bara är keylogging-uppgifter (användarnamn och lösenord etc) så är det enormt mycket.
På dessa tio dagar samlade Mebroot in uppgifter om 8 310 konton från 410 olika institutioner (banker, kreditkortsbolag, etc). Ett par exempel:
* PayPal – 1 770 konton
* Poste Italiane – 765 konton
* Capital One -314 konton
* ETrade -304 konton
* Chase -217 konton
Den samlade också in 1 660 unika kreditkortsnummer. Forskarna såg kapade datorer från i princip hela världen men topp 3 såg ut så här: 49% fanns i USA, 12% i Italien och 8% i Spanien
Läs mer om Mebroot här. Denna är något av det ”värsta” som finns just nu. Kanske en av de värsta någonsin. Man får in Mebroot via Drive-by-Downloads, alltså att man surfar in på en sida som är kapad eller helt i händerna på elakingarna. Nu senast körde man en ”raid” mot porrsiter. Dessutom kan man få in den om man luras att öppna en preparerad PDF (därav att jag tjatar om att ni ska vara försiktiga med PDFer och att ni ska uppdatera den 12′e maj).
Här finns en alldeles ypperlig, mer teknisk, förklaring vad Mebroot gör och hur den fungerar.
Det som är riktigt giftigt med Mebroot är att det är ett rootkit som gömmer sig i MBRen. Den finns INTE som en fil på hårddisken. Den injicerar sig själv i olika kernel drivers när man startar upp datorn
Läs mer om forskarrapporten här (PDF)
Känns lite spännande att länka till en PDF särskilt som jag i förra inlägget varnade för dem 
*EDIT* Lagt till mer information och länkar
Hej Per
Efter ha blivit attackerad mer än "fått" detta. Så har jag fått lite koll på hur det går till. Den versionen som jag har använder adobes flash spelare. Tydligen gjorde verizon ett klantigt säkerhets certifikat 2002 som uttnyttjas för att komma in. Väl inne så byggs datorn om mer el mindre manuellt. Till att bli en zombie som du själv loggar in till istället för den datorn du en gång hade så är den nu en nt2000 server. Inget operativsystem verkar vara skyddat ifrån att bli zombie i nåt botnet. För de har inte haft några problem att lägga in det här i win7 som jag beta testar. Med 6 smittade datorer var av endel smittats flera gånger så har jag i stort sett lyckats få ut dom delar som krävs för att få det att fungera. Om någon på idg vill ha ett sampel att dissikera. Att det inte är så svårt för de som lägger in det här att faktiskt göra det. Är nog mer chockerande än själva zombie skapandet. För dom har alla tillgängliga medel för att lyckas. Något ip loggarna har avslöjat.
Anmäl
Hej. Ja det var en väldigt intressant och spännande rapport som gav svar på en del frågor runt botnät. Jag har skrivit ett inlägg om en del tankar jag själv fick efter ha läst rapporten. Skulle vara kul om du vill ta en titt och kanske ge en kommentar. http://blogg.idg.se/chrisc
Mvh Christian
Anmäl