Три дебила - это сила! - Форум

ФОРУМ ПЕРЕЕХАЛ! ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ! 
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/


Страница 1 из 11
Форум » Общий » Флейм » Три дебила - это сила! (Повесть)
Три дебила - это сила!
BuTaMuHДата: Четверг, 30.06.2011, 22:27 | Сообщение # 1
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline


И так, на известном ресурсе http://c-s.net.ua/ есть разоблачающая статья про трех уродов, весьма лихо распространивших ботнет (вирус по сути дела) через motd окна нубо-серверов!
Давненько я эту статью читаю...
Их уже и брутят и досят, короче достается придуркам...
Смысл всего мероприятия станет ясным с самой статьи, которую я представлю ниже:

Автор пользователь berq ресурса http://c-s.net.ua/

Статья:

Поскольку товарищ вконтаке продолжает пускать сопли и притворяться невинной целочкой, публикуется более подробный рассказ о том, как пасаны к успеху шли.

Главные действующие лица:

1) vkontakte (он же Mishel)

Страна: Украина | Город: Ильичевск | ICQ: 666848 | 444774444 | 493370973 (Сервера: 83.142.105.21:27016 (уже не работает) | 195.93.191.105:27016 | (личный IP адрес 195.93.191.6 ) | Профиль: http://vkontakte.ru/mishel7

2) ratwayer

Страна: Россия | Город: Киров | ICQ: 289012 | Личный IP 89.207.75.107 (вроде сейчас другой) | Профиль: http://fpteam-cheats.com/board/index.php?showuser=40892

3) pumamd (он же 330863)

Страна: Республика Молдова | Город: Chisinau | Сервера: 95.65.90.91:27025 (личный IP адрес 89.28.17.208) | Профиль: http://c-s.net.ua/forum/user66105.html

Собственно. Что же сделали эти люди ? А сделали они очень хитрую штуку под названием «ботнет»

Короче говоря, Ботнет – это компьютеры пользователей зараженные вирусом. Вирус, они распространяли через MOTD окно, на своих серверах CS 1.6 (основным раздатчиком был сервер 83.142.105.21:7777 На него они перекидывали десятки тысяч игроков со всего мира). Как только человек заходил на сервер, у него сразу вылетала закачка файла-вируса. Использовался элементарный код, типа:

[IFRAME]

Что представляет из себя их вирус ?

1) Вирус поднимал на зараженном компьютере ~1000 редирект серверов (они автоматически регистрировались на сетмастерах VALVE). Все эти редирект-сервера перенаправляли игроков на раздатчик 83.142.105.21:7777 (позднее на what.gcn.pp.ua:200). Фактически получалась замкнутая цепь и ботнет разрастался в геометрической прогрессии.

2) Вторая задача вируса – это UDP флуд или другими словами DDoS (можно было настраивать IP PORT количество потоков и ещё какую-то мелочь)

3) Кража файлов с зараженных компьютеров (можно было скачивать любые файлы, пароли, ключи, личные документы, сертификаты вебмани, и.т.д.). Тут всё ограничивалось лишь фантазией.

4) Вирус так же осуществлял автоматический флуд на сетмастера VALVE (именно по этому они не работали)

5) Следующим шагом было падение SETTI. В связи с этим, код редирект-сервера был переписан так ( версии 1.07), чтобы сканер сетти их не палил, оставалось сделать только регистрацию на сетти (как выяснилось в дальнейшем, они хотели сделать авто-скрипт).

6) Так же, вирус поднимал на компьютере игрока прокси-сервер (Hlproxy). Товарищ ratwayer, в данной теме http://fpteam-cheats.com/board/index.php?showtopic=17342 как раз привел список зараженных компьютеров biggrin

Сам вирус, написал ratwayer. Идея создания ботнета принадлежит vkontakte. Pumamd крутился на подхвате.
Т.к. товарищ ratwayer поленился защитить данные в самом вирусе, вся информация, команды и схема работы были получены очень быстро. Управлять ботнетом можно было только с четырех IP (83.142.105.21 | 95.65.64.90 | 89.207.75.107 | 127.0.0.1). Хочу заметить, что на IP 95.65.64.90:27010 и 95.65.64.90:1337 располагались сервисы, на которыы приходила информация от зараженных компьютеров. Именно так они узнавали IP адреса компьютеров в ботнете.

Основная цель всего мероприятия – это заработок денег.

Хочешь раскрутить свой сервер, платишь им денюжку (200р неделя | 500р месяц | 2500р “Вечная” раскрутка). Если вы с чем-то не согласны, много выебываетесь или ваш сервер хорошо поднимается в рейтингах (без их участия), они его просто Досят со своего ботнета. Если кто-то заказывает ваш сервер за $, то его тоже Досят. Как выяснилось в дальнейшем, планы у них были грандиозные… Т.е. фактически, хотели взять все топовые сервера “Под колпак” и рулить их рейтингами, сшибая бабло. В итоге, всем нормальным админам, оставалось довольствоваться объедками с барского стола и держать пустые сервера, в то время, как все игроки кидались через их редиректы на раскручиваемые сервера.

Когда товарищ vkontakte потерял свой IP 83.142.105.21 (только с него он мог управлять ботнетом), провайдер выдал ему другой IP 195.93.191.105 и всё управление перешло в руки pumamda. В связи с этим, началось создание ещё одного ботнета, был написан новый вирус и распространялся он так же, через MOTD окно, но уже с большого количества серверов (товарищ vkontakte подключил своих друзей/админов, чтобы они поставили на свои сервера MOTD с закачкой вируса). Представьте себе, каким надо быть уродом, чтобы распространять вирус своим же игрокам!

Вот видео всего процесса (показана раздача вируса через друзей товарища vkontakte): http://www.youtube.com/watch?v=b_CIJ2y0_WI (если кого-то не устраивает такое качество, могу кинуть исходное видео с четкой картинкой).

Также ко мне в руки попала вся история переписки товарища vkontakte (из квипа и скайпа). Т.к. она весит более 40 мегабайт и содержит много информации личностного характера, пароли к форумам, ссылки на вирусы, списки серверов с украденными RCON, переписки с покупателями, публиковаться в полном объеме она не будет.

Безусловно, вся переписка, между (vkontakte, ratwayer и pumamd) была изучена, для выявления уязвимых мест в ботнете и дальнейшего его закрытия. Ниже, я приведу ряд цитат (если кто-то хочет полную версию переписки с тем или иным человеком, пишите в пм):

"Помимо редиректа надо еше и геймменю менять!":


"О эффективности подсадки":


"О методах закачки бота":


"Надо бы удп флудер прикрутить":


"Ебашим фортим и Ракуна":\


"Пасаны к успеху идут":


"фэйкплееры не пашут sad ":


"Планы по засиранию сетти":


"О командах бота":


"О дележке бабла":


"Сиса и ракун - пидары!(админы цснета)":


"Вот уже и бот, работающий с сетти распространяется":


"Пасана досанули первый раз, но он намека не понял. А еще про вынос mvpro (топовый сервер админа СЕТТИ)":


"Хостинги пидары! не дают вирусню распространять! (Нас то же касается biggrin )":


Замечание боты лично мной и Нодом32:
Code

bot.exe
bot2.exe
svhost.exe
admin.cmd
Counter-Strike.cmd


Это лишь малая доля информации. Есть много интересной инфы, которая будет полезна администрации фортима =) До глубины души поражает цинизм и обилие вранья, которое они выгружают на форумы. Поражает то, как эти люди общаются друг с другом, строят планы по захвату миру, обожествляют себя, продают дурачкам-админам нерабочий софт. Порой волосы вставали дыбом от их писанины... И что самое печально, их ботнет окончательно засрал сетмастера и этот процесс необратим, потому что вирус с компьютеров игроков могут удалить только сами игроки...

Так что вот так - в вашем неведении, их сила!


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
BuTaMuHДата: Четверг, 30.06.2011, 22:45 | Сообщение # 2
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline
Лист инфицированных компьютеров и проверка на ботнет вирус:
http://css.setti.info/servervirus/


Сайт сетти получает массу запросов на добавление серверов через форму. Форма добавления серверов позволяет администраторам/обладателям серверов добавлять в список серверов сетти свой сервер. В последнее время большая часть трафика которая получена вебсервером на форму добавления серверов являеться странным и отправленным не людьми.

URL линк формы добавления серверов в список сетти изменится со временем. Тем не менее ешё приходит трафик на старую форму добавления серверов. Здесь замешен вирус который отправляет запросы или программы администраторов. Но судя по числу запросов можно сказать что это вирус.

Возможно пользователи сетти или админы серверов получили данный вирус на свой компьютер. Тут есть список IP адресов которые отправляют запросы на старую форму добавления серверов. Администраторы серверов вероятно получили данный вирус через интернет или используют плохие программы для администрирования / управления сервером.

По данным СЕТТИ обнаружено 2171 инфицированных хостов!


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
BuTaMuHДата: Четверг, 30.06.2011, 22:50 | Сообщение # 3
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline
Крупные ботнеты практически неразрушимы
По статье .infox

Специалисты считают, что ботнеты - сети, состоящие из большого количества зараженных компьютеров и используемые хакерами для атаки на выбранную жертву - практически невозможно разрушить.

«TDL-4, который относится к так называемым троянам-ботам, инфицирующим компьютеры и объединяющим их в свои сети, является наиболее сложной угрозой безопасности на сегодняшний день», — заявил сотрудник Лаборатории Касперского Сергей Голованов. С ним согласны и многие другие специалисты, работающие в сфере компьютерной безопасности. «Я не считаю крупномасштабные ботнеты полностью неуязвимыми, но разрушить их крайне сложно. Они прекрасно справляются с поддержанием своей работоспособности», — сказал Джо Стюарт (Joe Stewart), исследователь вредоносного ПО из Dell SecureWorks и всемирно известный эксперт по ботнет-сетям.

Мнения Сергея Голованова и Джо Стюарта основываются на исследованиях сетей TDL-4, которые чрезвычайно сложно обнаружить и еще сложнее искоренить. Одной из причин, по которой троян TDL-4 остается практически невидимым, по мнению российского исследователя, является то, что он прописывается в загрузочном секторе жесткого диска и остается невидимым как для операционной системы, так и для программного обеспечения, защищающего компьютер от вредоносного ПО. Но главное, что делает ботнет-сети неистребимыми, — это их продвинутые системы шифрования и использование сетей P2P (peer to peer), по которым управляющий сервер рассылает команды зараженным компьютерам, пишет ресурс computerworld.com.

«Использование P2P для разрушительной деятельности TDL-4 существенно усложняет работу специалистов по борьбе с ботнетами», — заявил Роэль Шаувенберг (Roel Schouwenberg), старший научный сотрудник Лаборатории Касперского. «Владельцы ботнетов делают все возможное, чтобы их детище не было разрушено», — добавил он. Шаувенберг привел несколько примеров по закрытию мощных ботнетов и заметил, что каждый раз после гибели одной из таких сетей владельцы оставшихся улучшают их системы безопасности, существенно поднимая планку. В частности, по словам Сергея Голованова, создатели TDL-4 разработали собственный алгоритм шифрования.


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
BuTaMuHДата: Четверг, 30.06.2011, 22:52 | Сообщение # 4
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
dsДата: Суббота, 02.07.2011, 16:10 | Сообщение # 5
Рядовой
Группа: Пользователи
Сообщений: 33
Награды: 1
Репутация: 1
Страна: Молдова Молдова
Статус: Offline
Quote (BuTaMuH)
Как только человек заходил на сервер, у него сразу вылетала закачка файла-вируса.

Устанавливаем фаерволл от комодо и радуемся. нихера не пропускает.


Я Вконтакте
 
BuTaMuHДата: Суббота, 02.07.2011, 20:06 | Сообщение # 6
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline
Quote (ds)
Устанавливаем фаерволл от комодо и радуемся. нихера не пропускает.

Так то оно так - но 90% игроков даже не читают что там у них скачиваеться и не парятся по поводу защиты...


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
dsДата: Понедельник, 04.07.2011, 00:24 | Сообщение # 7
Рядовой
Группа: Пользователи
Сообщений: 33
Награды: 1
Репутация: 1
Страна: Молдова Молдова
Статус: Offline
это точно)) кроме как играть нихера не умеют)


Я Вконтакте
 
UniT-10Дата: Вторник, 05.07.2011, 18:12 | Сообщение # 8
Майор
Группа: AMX Админы
Сообщений: 447
Награды: 3
Репутация: 18
Страна: Украина Украина
Статус: Offline
властилины мира еба:)



Мой РЭП дело, а твой фейк - как сиськи памэлы! (с)
 
BuTaMuHДата: Четверг, 11.08.2011, 13:11 | Сообщение # 9
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline
Dr.Web опомнились - http://news.drweb.com/show/?i=1816&lng=ru&c=14
biggrin :D biggrin
Мой хиленький нод32 уже пол года как на эту хрень ругается biggrin :D biggrin


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
Stif-masterДата: Четверг, 11.08.2011, 19:59 | Сообщение # 10
Рядовой
Группа: Пользователи
Сообщений: 12
Награды: 0
Репутация: -4
Страна: Украина Украина
Статус: Offline
Реально, какой же надо быть сук..й что бы такое делать..я в шоке, даже играю в кс компьютер может быть взломан...
Я помню у меня так тоже раз было, я с чуваком на сервере матерился..ну мы договорились сам на сам,он мне айпи скинул и у меня выскачело такое же меню как на видео..возможно и этот вирус.
А ЕТИХ МРАЗЕЙ ЗА ТАКОЕ ПОСАДЯТ?Я думаю если оно имели возможность читать документы на компьютере, на зону их однозначно.
И по сколько им лет?
 
RastomansДата: Суббота, 13.08.2011, 19:47 | Сообщение # 11
Рядовой
Группа: AMX Админы
Сообщений: 71
Награды: 0
Репутация: 7
Страна: Украина Украина
Статус: Offline
Норм!! А они хоть денег срубили?


http://cs.nline.net.ua
UA-Gamers -> Rastomans`
 
BuTaMuHДата: Суббота, 13.08.2011, 19:51 | Сообщение # 12
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline
Ну на пару дебилах и срубили которые этот вирусок себе на сервера ставили )


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
Stif-masterДата: Вторник, 16.08.2011, 22:47 | Сообщение # 13
Рядовой
Группа: Пользователи
Сообщений: 12
Награды: 0
Репутация: -4
Страна: Украина Украина
Статус: Offline
Так их посадят или нет?!!
 
BuTaMuHДата: Пятница, 19.08.2011, 17:27 | Сообщение # 14
Генерал-полковник
Группа: Администраторы
Сообщений: 1905
Награды: 22
Репутация: 32767
Страна: Украина Украина
Статус: Offline
Хрен его знает - поживем увидим...


ФОРУМ ПЕРЕЕХАЛ!
ЭТОТ ФОРУМ НЕ ОБСЛУЖИВАЕТСЯ!
АДРЕС НОВОГО ФОРУМА: http://forum.cs.nline.net.ua/
 
Форум » Общий » Флейм » Три дебила - это сила! (Повесть)
Страница 1 из 11
Поиск: