четверг, 29 марта 2012 г.

Осторожно ботнет Sality! Ни в коем случае не трогать!

"Последние пару суток я потратил на изучение ботнета Sality, который состоит хотя бы из млн. пиров, - пишет в рассылке Seclists анонимный хакер. - В 2010 г. компания Symantec поставила семейство Sality на I-е место по количеству заражений. Ботнет используется для рассылки спама, кражи паролей, взлома SIP-аккаунтов и разных иных грязных дел.

Я заметил, что возможно просто получить контроль над третьей версией этого ботнета, и, что более важно, вывести его из строя. К несчастью, чтоб это сделать, требуется нарушить закон. Поэтому я прошу всех ни за что не исполнять шаги, описанные ниже".

Все нужные файлы располагаются в архиве (пароль: sality):

http://www7.zippyshare.com/d/65744138/9360/byesality.zip





Содержимое архива

В первую очередь, вам не нужно применять SQL-инъекцию, чтоб осуществить эксплойт страницы

http://www.capesolution.com/login/login.aspx

Дальше, вам не нужно загружать зашифрованную версию программы AVG Sality Remooval Tool как файл /images/logo/logof.jpeg. В конечном счете, вам ни за что нельзя смеяться, когда вы видите, как ботнет разваливается у вас на глазах.

Автор инструкции пишет, что хозяева ботнета Sality заменят рабочий URL. И впрочем это никому не любопытно, однако он всё-таки передает URL's иных командных серверов с указанием файлов, которые нельзя заменять.

http://yaylaozu.com/images/logo.gif
http://destekegitim.com/images/logo.gif
http://dav14gurgaon.org/images/logo.gif
http://dersrehberi.com/images/logo.gif
http://cisse.com.tr/images/logo.gif
http://cbe.com.vn/images/logo.gif

Ну и естественно, незачем применять Python-скрипт из вышеупомянутого архива для создании обновлённого списка адресов.

по материалам http://xaker.ru

1 комментарий: