Архив рубрики ‘пользователи’

#Внимание! #розыск #Ищу #девушку #нарисовавшую #этот #рисунок #байкер #мотоциклист #рокер #Иван #Воропаев #Ivan #Voropaev #mefisto13 @13mefisto13 @bonolga2

#Внимание! #розыск #Ищу #девушку #нарисовавшую #этот #рисунок #байкер #мотоциклист #рокер #Иван #Воропаев #Ivan #Voropaev #mefisto13 @13mefisto13 @bonolga2

Сайт https://www.linkedin.com

( ЗАКРЫТ !? )

Ваше соединение не защищено

Владелец www.linkedin.com неправильно настроил свой веб-сайт.

Чтобы защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом.

Отправка сообщений о подобных ошибках поможет Mozilla

обнаружить и заблокировать вредоносные сайты

www.linkedin.com использует недействительный сертификат безопасности.

К сертификату нет доверия, так как он является самоподписанным.

Сертификат недействителен для имени www.linkedin.com.

Код ошибки: SEC_ERROR_UNKNOWN_ISSUER
https://www.linkedin.com/ Издатель сертификата узла не распознан.

Форсированное защищённое соединение
HTTP (HSTS): false
Привязка открытого ключа HTTP (HPKP): false Цепочка сертификата:

—–BEGIN CERTIFICATE—– MIICsDCCAZgCCQDrwZPIUKCUsDAN
BgkqhkiG9w0BAQsFADAaMRgwFgYDVQQDDA9i bG9jay5xd2Vy
dHkucnUwHhcNMTcwMTI2MDcwNjE3WhcNNDQwNjEzMDcwNjE3WjAa
MRgwFgYDVQQDDA9ibG9jay5xd2VydHkucnUwggEiMA0GCSqGSIb3
DQEBAQUAA4IB DwAwggEKAoIBAQDelVn2jZBbCigYd1CaPOlpxYy
pVOTO0+N8ZIXnm42mN+fXoSjB ucnzUiX0V0HqM6yuZ8cs2wX7Qt
eI9KWVl3jdjVCQjTmBsMgzJZHyoik1mbDVlAXP nhu++uSKwQKkP
LpI+WTC4Vv23MMef2yO0gMbLZSjPmzC091pDlnrU8U5Uxw5+1vw
UJL5pq1hoxRi/R39wHhAhoGrjjLfbbmLLbpUVU2kYtgzwAs+
8UbJ+Mt2HWOtrNWl 7uj2no6uyBM+RnrcSZ4YbR6mOzWAmbiiEL
bek6iQKYbOLXgHZwLf3t2HxsjCB8WgIJaEtCGAN1broTb/P8l/bI
maZQygZe/mBmkXAgMBAAEwDQYJKoZIhvcNAQELBQAD ggEBANS8l
dkL+fDNu2zlvviIbx0caY6K8YPUu0dMxFpAI/5H9yXcPmdZ2L3L6
OCJ /mOomzAnF+ddHY4J5GoQ0VW8pfdbpqcuCLoeRgVRZZ0n4iCs
o9OKrXBGyiLXaVTw RBl5RgjnmoGZgQoNGJhKrSjDRJ9LZYUwhbm
P30ebtLTjEd/++mB269/y5l/cAc2C AalzpNbT/MFJPdxec7LYUj
8zkuCcmgQyXZ2dLqzsuCSs4cKN8UBFvN+kmDn8E0JY B/KucUan+
q57lP5kvULUTdv7fveUu6NhFpiPP9WXtNN9PsLprjy0cUOB+ARw1
zQYbccWLrG86YZp/W/VLmupvu7Efd4= —–END CERTIFICATE—–

Что бы открыть защищённое соединение используем технологию

Kaspersky Secure Connection Service 1.0.0

Открыто

Данная технология используется в Kaspersky Anti-Virus Service

Каспер Безопасность

После включения и настройки данной функции сайт снова работает

САЙТ ОТКРЫТ

Program.Unwanted.2 в вирусной библиотеке:

Вирусная библиотека Dr.Web

Program.Unwanted.2
Program.Unwanted.2

К данной категории относятся программы, не являющиеся по своей сути вредоносными, однако и не несущие какой-либо полезной нагрузки, а в ряде случаев — требующие покупки платной лицензии за выполнение тех или иных действий (часто бессмысленных). Некоторые из них способны нарушить стабильную работу операционной системы.

В частности, к категории Program.Unwanted относятся многочисленные «ускорители Интернета», утилиты для «очистки» или «оптимизации» системного реестра Windows, программы для «освобождения дискового пространства», «улучшения работы компьютера», «обновления драйверов» и прочие приложения, якобы предназначенные для «ускорения работы» или «проверки» операционной системы на наличие каких-либо ошибок. В большинстве случаев подобные программы «выявляют» на компьютере несуществующие проблемы и для их устранения предлагают пользователю приобрести платную лицензию. Также известны случаи, когда относящиеся к данной категории программы в силу содержащихся в них ошибок вызывали сбои в работе ОС Windows — например, появление BSOD («синего экрана смерти»).

ИСТОЧНИК

https://i0.wp.com/pc.bizznes.net/wp-content/uploads/2015/08/apple.jpg

Пункт приема вторсырья Clean Bay Area в Сан-Франциско разыскивает женщину, которая, вероятно, по ошибке привезла туда самую первую, редчайшую модель компьютера Apple, выпущенную в середине 70-х годов прошлого века.
Помимо уникальной ЭВМ женщина привезла в утиль другие компьютеры и компьютерные компоненты, оставшиеся ей после смерти мужа.
Первая партия компьютеров Apple состояла лишь из 200 единиц.
В Clean Bay Area определили истинную ценность ретро-компьютера и продали его частному коллекционеру за 200 тыс. долларов.
Компания начала активный поиск женщины через СМИ, чтобы отдать ей половину полученной от продажи суммы.
Был создан видеоролик, в котором пользователей просят распространить его, чтобы помочь найти бывшую обладательницу редкого компьютера.
4 КБ оперативной памяти
В блоге Clean Bay Area говорится, что женщина привезла коробки с компьютерами в конце апреля. На вид ей было 60-70 лет.
В сообщении компании не приводятся данные о том, как конкретно выглядела женщина, но отмечается, что в случае ее появления работники ее узнают.
Вице-президент Clean Bay Area Виктор Гичун сказал, что женщине не нужна была квитанция о сдаче оборудования в утиль. Он сказал, что узнает ее, если она решит приехать за причитающейся ей суммой.
Коробки с электроникой открыли лишь две недели спустя. Один из менеджеров пункта увидел старый компьютер под кучей кабелей и клавиатур и сразу понял, что это.
Первые ЭВМ Apple были сконструированы и собраны одним из основателей компании Стивом Возняком. Они поступили в продажу в 1976 году по цене 666,66 долларов. Оперативная память компьютера составляла лишь 4 КБ.
На сегодняшний день сохранилось лишь 63 таких компьютера.

P10 светодиодный видео модуль 8500 кандел+ магниты

Вид оборудования: Другое

Основные характеристики
Страна производитель Тайвань
Размеры
Вес 0.6 (кг)
Дополнительные характеристики
Цветность Полноцветный (RGB 3in1)
Шаг пикселя, мм 10
Яркость, кд/м2 6500
Тип исполнения пикселя DIP
Тип микросхем SC16739
Интерфейс выхода HUB75
Разрешение, кол-во пикс. 32 х 16
Плотность пикселей (шт/м2) 10000
Рабочее напряжение, В 5
Область применения Уличный
Степень защиты IP65
Диапазон рабочих температур, ? -40 / +60
Размер модуля, мм 320 x 160
Угол обзора 110° / 60°
Оптимальное расстояние просмотра, м 10
Срок службы, ч >100 000
Вес, кг 0,6
Вид Электронное табло

Продаются модули в комплекте 2 провода, 1 шлейф,и 4 магнита все это за 1600 российских рублем. партия 100 штук в НАЛИЧИИ

Номер объявления: 629697871

Пожалуйста, скажите продавцу, что вы нашли это объявление webnode.ru

КОНТАКТНЫЙ ТЕЛЕФОН 8 196 796 15 44 ДМИТРИЙ

MEFISTO13 сохранил пост на Постиле.

from Facebook
via IFTTT

Жители Донбасса проклинают Порошенко за массовые убийства. (Видео не для слабонервных 18+)

Долго не решался выложить это видео в блоге, но люди решили — надо выкладывать. В этом ролике кадры убитых украинскими карателями мирных жителей Донбасса. Женщины и дети, погибшие от артиллерийских обстрелов и налетов авиации. Жестокие кадры от которых кровь стынет в жилах.
Фашизм должен быть уничтожен. Фашисты должны быть наказаны за свои преступления, и Порошенко, в том числе. Жителям же, пока еще, находящихся под пятой фашистов территорий Украины эти кадры надо будет показывать в течение нескольких месяцев каждый день. Чтобы выбить из головы яд фашизма, которым отравили сознание миллионов украинцев.
Еще раз предупреждаю, видео шокирующее. Беременным и людям с неустойчивой психикой видео смотреть не рекомендуется. И просьба, не показывать эти кадры детям.

ИСТОЧНИК >>>>

В феврале 2014 года на популярном российском ИТ-ресурсе появилась статья с очень интересным заголовком – «Исследуем Linux Botnet «BillGates». В ней описывался троянец с довольно богатым функционалом для осуществления DDoS-атак. Особенно нас заинтересовала его способность проведения атаки типа DNS Amplification. Да и вообще, исходя из статьи, троянец имел сложную многомодульную архитектуру, чего до сих пор мы не наблюдали в мире Linux-зловредов.

Кроме того, в статье имелась ссылка, откуда все файлы троянца (полученные прямиком с зараженной машины) можно было скачать. Что мы и сделали.

Скачанный архив содержал следующие файлы, которые, по словам автора статьи, являлись модулями одного троянца:

  • atddd;
  • cupsdd;
  • cupsddh;
  • ksapdd;
  • kysapdd;
  • skysapdd;
  • xfsdxd.

В данный момент файлы cupsdd и cupsddh детектируются продуктами «Лаборатории Касперского» как Backdoor.Linux.Ganiw.a; atddd и остальные – как Backdoor.Linux.Mayday.f.

В архиве с файлами присутствовал также файл конфигурации cron – планировщика задач в Linux. В данном случае утилита используется как средство закрепления троянца в системе. С помощью cron троянец выполняет следующие задачи:

  1. Раз в минуту завершает процессы всех приложений, которые могут помещать его (троянца) работе: .IptabLes, nfsd4, profild.key, nfsd, DDosl, lengchao32, b26, codelove, node24;
  2. Примерно раз в полтора часа завершает работу всех своих процессов: kysapd, atdd, skysapd, xfsdx, ksapd;
  3. Примерно раз в два часа скачивает в папку /etc с адреса http://www.dgnfd564sdf.com:8080/%5Bmodule_name%5D все свои компоненты (module_name = имя модуля, например, cupsdd), предварительно удалив эти файлы из /etc
  4. Раз в полтора часа заново запускает все свои модули
  5. Каждую минуту затирает системные логи, историю команд bash и выполняет chmod 7777 [module_name]

При последующем анализе файлов мы не обнаружили кода, отвечающего за запись конфига cron. Скорее всего, конфиг был вручную загружен злоумышленником после получения удаленного доступа к системе.

Backdoor.Linux.Mayday.f (atddd)

Файл atddd представляет собой бэкдор, содержащий функционал для осуществления различных типов DDoS-атак на указанные сервера, и, напомним, детектируется нами как Backdoor.Linux.Mayday.f. Файлы kysapdd, skysapdd, xfsdxd, ksapdd являются практически полными копиями atddd за одним исключением, о котором ниже.

Вначале своей работы бэкдор вызывает функцию daemon(1, 0), таким образом продолжая свое выполнение в фоновом режиме и перенаправляя стандартный ввод, вывод и ошибки в /dev/null

Затем atddd собирает необходимую информацию о системе, а именно:

версию системы (вызов uname())
количество ядер процессора и их частоту (из /proc/cpuinfo)
загруженность процессора (из /proc/stat)
загруженность сети (из /proc/net/dev для интерфейсов с префиксом «eth»)
Эта информация помещается в структуру g_statBase.

bill_gates_botnet1

После этого бэкдор расшифровывает строки, содержащие IP-адрес и порт C&C сервера. Алгоритм шифрования очень простой: зашифрованная строка посимвольно перебирается и если номер символа нечетный, то к его ASCII коду добавляется 1, если четный — вычитается 1. Таким образом из строки «3/3-2/4-269-85» получается IP-адрес «202.103.178.76», а из «2/:82» порт «10991».

Далее atddd читает файл конфигурации fwke.cfg, находящийся в той же директории, что и сам зловред. Полученная информация помещается в структуру g_fakeCfg. Если файл не существует, то бэкдор пытается создать его и записать внутрь следующую информацию:

1-ая строка: 0 //флаг, если 1 — то начать атаку, если 0 — остановить атаку

2-ая строка: 127.0.0.1:127.0.0.1 //диапазон исходящих IP-адресов

3-я строка: 10000:60000 //диапазон исходящих портов для атаки

4-ая строка: пустая строка //доменное имя в случае с DNS-флудом (см. ниже)

Эта информация в дальнейшем передается C&C серверу и может обновляться при помощи команды от C&C.

Далее бэкдор запускает новый поток CThreadTaskManager::ProcessMain(), в котором команды на начало атаки и остановку атаки ставятся в очередь на выполнение. Следом запускается новый поток CThreadHostStatus::ProcessMain(). В нем каждую секунду обновляются данные о загруженности процессора и сети, которые впоследствии могут отправляться C&C серверу при запросе.

После этого запускаются 20 потоков, которые читают информацию из очереди заданий и, соответственно, начинают атаку или останавливают ее. Однако в атаке могут быть задействованы не все потоки, если команда от C&C приходит с соответствующим параметром (количеством используемых потоков).

bill_gates_botnet2_sm

Далее зловред входит в бесконечный цикл обработки сообщений от C&C. Сначала устанавливается соединение с C&C и каждые 30 секунд отправляется информация о версии системы и тактовой частоте процессора, а также данные из структуры g_fakeCfg.

В ответ сервер должен отправить 4 байта, первый из которых является порядковым номером команды — от 1 до 4.

bill_gates_botnet3_sm

Далее, если команда имеет параметры, то C&C отправляет еще 4 байта, содержащие размер данных (параметров). После этого отправляются сами параметры, размер которых должен совпадать с числом из предыдущего ответа С&С.

Подробнее о каждой из команд:

0x01. Команда запуска атаки, в параметрах передаются тип атаки, а также количество используемых потоков. Тип атаки представляет из себя байт со значением от 0x80 до 0x84. Таким образом возможны 5 видов атак:
0x80 — TCP флуд. Порт назначения передается в ответе C&C в качестве параметра. Дипазон портов отправления задан в fwke.cfg. Каждый новый запрос отправляется с нового порта в заданном диапазоне, по порядку. IP-адрес назначения так же задается в параметрах.
0x81 — UDP флуд. Тоже самое, что и 0x80, только в качестве протокола транспортного уровня используется UDP.
0x82 — ICMP флуд. Аналогично предыдущим, только через ICMP.
0x83, 0x84 – две атаки с использованием DNS флуда. Отличаются только доменным именем в DNS-запросе. В первом случае оно генерируется случайным образом, во втором — задается в параметре (4-ая строка в fwke.cfg). По сути обе похожи на 0x81, только в качестве порта назначения используется порт 53 (порт DNS службы по умолчанию).
0x02. Команда остановки атаки. Значение в первой строке fwke.cfg изменяется на 0 и атака прекращается.
0x03. Команда на обновление файла fwke.cfg. В ответе также приходит структура, аналогичная g_fakeCfg, из которой записывается файл fwke.cfg.
0x04. Команда для отправки статуса выполнения текущей команды С&C серверу.
Помимо этого бэкдор содержит несколько пустых (без кода внутри) методов с интересными названиями: CThreadAttack::EmptyConnectionAtk, CThreadAttack::FakeUserAtk, CThreadAttack::HttpAtk. Видимо, автор планировал расширить функционал зловреда и эта версия является не окончательной, а скорее тестовой. И файл cupsdd, о котором мы расскажем ниже, является этому подтверждением.

Файлы kysapdd, skysapdd, xfsdxd, ksapdd являются практически полными копиями atddd, но содержат другие адреса C&C серверов: 112.90.252.76:10991, 112.90.22.197:10991, 116.10.189.246:10991 и 121.12.110.96:10991 соответственно. Также отличаются имена файла конфигурации: fsfe.cfg, btgw.cfg, fake.cfg, xcke.cfg соответственно.

Таким образом, вопреки нашим ожиданиям, файлы atddd, kysapdd, skysapdd, xfsdxd, ksapdd являются не модулями чего-то целого, а отдельными экземплярами троянца, каждый из которых работает со своим C&C сервером. Но самое интересное еще впереди.

Backdoor.Linux.Ganiw.a (cupsdd)

Так же, как и описанные выше файлы, этот является бэкдором с функционалом для осуществления различных DDoS-атак. Но функционал cupsdd значительно богаче и сложнее, чем у его «коллег», хотя его код в некоторых местах очень похож на код файла atddd.

В начале работы бэкдор инициализирует необходимые ему переменные из строки «116.10.189.246:30000:1:1:h:578856:579372:579888» (разделитель — «:»), которую предварительно расшифровывает при помощи алгоритма RSA. Строка распределяется по переменным следующим образом:

g_strConnTgt=116.10.189.246 — IP-адрес С&C сервера

g_iGatsPort=30000 — порт С&C сервера

g_iGatsIsFx=1 и g_iIsService=1 — флаги, используемые в дальнейшем

g_strBillTail=h — постфикс для имени файла, который будет дропнут (см. ниже)

g_strCryptStart=578856, g_strDStart=579372, g_strNStart=579888 — указатели на RSA-данные (зашифрованная строка и ключ)

Далее зловред дропает и запускает файл, находящийся изначально по смещению 0xb1728 от начала файла и имеющий размер 335872 байта, если он еще не запущен. Проверка запущен ли этот файл происходит при помощи попытки забиндить сокет 127.0.0.1:10808. Если это сделать удалось, значит файл не запущен и нужно его дропнуть и запустить.

bill_gates_botnet4

Если же файл уже запущен, то его процесс, PID которого находится в файле /tmp/bill.lock, принудительно завершается (kill(pid, 9)). И потом файл все равно дропается, заменяя собой уже существующий.

Имя дропнутого файла формируется из имени текущего запущенного файла + постфикс из переменной g_strBillTail. В нашем случае файл назывался cupsddh и находился в той же директории, что и дроппер.

Далее текущий процесс форкается и в дочернем процессе происходит вызов функции system(«/path/to/cupsddh»), которая запускает дропнутый файл.

После этого вызывается функция daemon(1, 0), имеющая тот же смысл что и в предыдущем сэмпле (atddd).

Потом обрабатывается ситуация, если cupsdd был запущен ранее и активен в данный момент. Для этого проверяется, существует ли файл /tmp/gates.lock. Если он существует, то текущий процесс завершается (exit(0)). Если же нет, то он (/tmp/gates.lock) создается и в него помещается pid текущего процесса.

Далее, если флаг g_iIsService == 1, то бэкдор прописывает себя в автозагрузку при помощи создания скрипта в /etc/init.d/ с именем DbSecuritySpt следующего содержания:

#!/bin/bash

/path/to/cupsdd

И создает символьные ссылки на него в /etc/rc[1-5].1/S97DbSecuritySpt

bill_gates_botnet6_sm-2

Читает файл конфигурации conf.n (если он существует) из той же директории, что и cupsdd. Первые 4 байта файла — это размер данных идущих далее. Все данные помещаются в структуру g_cnfgDoing.

Читает файл с командами — cmd.n. Формат такой же как и в conf.n. Данные попадают в структуру g_cmdDoing.

Далее получает необходимую информацию о системе, а именно:

  • Имя системы и версию ядра (напр., Linux 3.11.0-15-generic), при помощи вызова uname()
  • Тактовую частоту процессора, из /proc/cpuinfo
  • Количество ядер процессора из /proc/cpuinfo и загруженность процессора из /proc/stat
  • Загруженность сети из /proc/net/dev
  • Размер жесткого диска в мегабайтах из /proc/meminfo
  • Информацию о сетевых интерфейсах из /proc/net/dev
  • Все данные помещаются в структуру g_statBase.

Далее создается новый поток CThreadTaskGates::ProcessMain, в котором обрабатываются следующие команды:

0x03. DoConfigCommand(). Обновить файл конфигурации conf.n.
0x05. DoUpdateCommand(). Запускает новый поток CThreadUpdate::ProcessMain, в котором обновляет один из своих компонентов. В качестве параметра команда принимает число от 1 до 3, которое ассоциируется с одной из следующей строк:
1 — «Alib» — файл /usr/lib/libamplify.so
2 — «Bill» — дропнутый модуль cupsddh
3 — «Gates» — дроппер cupsdd

bill_gates_botnet7_sm

В зависимости от параметра обновляется один из компонетов зловреда. Обновление происходит при помощи отправки C&C серверу 6 байт, содержащих строку «EF76#^». Вслед за этим отправляется одна из строк, описанных выше (в зависимости от параметра).

В ответ приходят 4 байта, содержащие длину файла (в байтах), который будет передан далее. Затем С&C передает сам файл пакетами по 1024 байта.

Сначала файл сохраняется в директории /tmp со случайным именем, состоящим из цифр. Затем, в зависимости от того что за файл был получен, заменяет уже существующий файл cupsdd (или cupsddh) или копируется в /usr/lib/libamplify.so

Далее временный файл из /tmp удаляется, а на итоговый устанавливаются права 755 с помощью команды chmod. После чего, в случае обновления cupsddh, уже запущенный процесс завершается, а новый файл запускается. В случае обновления cupsdd, завершающий этап (начиная с копирования их /tmp) осуществляет cupsddh, которому отдается соответствующая команда.

  • 0x07. DoCommandCommand(). Записывает новую команду в cmd.n.
  • 0x02. StopUpdate(). Закрывает текущее соединение, установленное для обновления модулей.

После этого бэкдор cupsdd запускает несколько потоков, в которых одновременно выполняет несколько вспомогательных действий:

  • CThreadClientStatus каждую секунду обновляет данные о загруженности процессора и сети в структуре g_statBase.
  • CThreadRecycle удаляет из очереди заданий уже завершенные.
  • — CThreadConnSender читает команды из очереди и передает их модулю cupsddh через TCP-соединение с 127.0.0.1 на порт 10808. В ответ принимает статус их выполнения.
  • CThreadMonBill каждую минуту проверяет запущен ли модуль cupsddh и если нет, то заново дропает и запускает его.
  • CThreadLoopCmd читает команды из g_cmdDoing (файл cmd.n) и выполняет их через вызов system(cmd).

Далее основной поток входит в цикл приема и обработки команд от C&C сервера. Тут в зависимости от флага g_iGatsIsFx возможны два варианта:

  1. Если флаг установлен (==1), то зловред, как и в предыдущем сэмпле (atddd), в новом потоке просто отправляет информацию о системе и текущую конфигурацию из g_cnfgDoing и ожидает поступления в ответ команд;
  2. Если флаг не установлен, то инициатором сеанса связи выступает C&C. То есть зловред ожидает подключения от C&C и только когда соединение будет установлено начинает передавать указанные выше данные.

bill_gates_botnet8_sm

Команды, поступающие от C&C распределяются в одну из двух очередей: либо на исполнение в текущем модуле (в потоке CThreadTaskGates, описанном выше), либо на передачу модулю cupsddh (поток CThreadConnSender).

Backdoor.Linux.Ganiw.a (cupsddh)

Файл упакован UPX’ом, после распаковки вызывает daemon(1,0). Создает файл /tmp/bill.lock, в который помещает PID текущего процесса. cupsddh заполняет данными о системе структуру g_statBase, точно такую же как в cupsdd.

Далее заполняет структуру g_provinceDns IP-адресами DNS-серверов приведенными к двоичному коду в сетевом порядке расположения байт функцией inet_addr(), из массива строк g_sProvinceDns (смещение в распакованном файле: 0x8f44с, размер 4608 байт).

cupsddh выполняет команду «insmod /usr/lib/xpacket.ko», пытаясь таким образом загрузить модуль ядра в ядро. Однако такой файл отсутствует на «чистой» системе, и зловред не предпринимает никаких попыток скачать его или получить каким либо еще способом.

bill_gates_botnet9_sm

Далее данные из файла /usr/libamplify.so (оказывается, это не библиотека, а очередной конфиг) загружаются в структуру g_AmpResource. Формат файла: 1-ый dword — это количество dword’ов, идущих следом. Судя по всему, содержит список IP-адресов актуальных на данный момент DNS-серверов, подходящих для DDoS-атаки типа DNS Amplification.

После этого запускает два потока: CThreadTask и CThreadRecycle. Первый выполняет команды из очереди, сформированной из пришедших от модуля cupsdd команд. Второй удаляет выполненные команды. Затем основной поток биндит сокет на 127.0.0.1:10808 и в бесконечном цикле начинает принимать команды от модуля cupsdd, которые заносятся в вышеуказанную очередь.

Возможны следующие команды:

  • 0x01. Начинает атаку в соответствии с полученными параметрами. Подробнее ниже.
  • 0x02. Останавливает текущую атаку, устанавляивая соответствующий флаг.
  • 0x03. Обновляет текущую конфигурацию в структуре g_cnfgDoing, которую использует при атаке. Так же обновляет текущий локальный мак-адрес и мак и ip адреса текущего используемого гейта (шлюза) в структуре g_statBase.
  • 0x05. Завершающий этап обновления модуля cupsdd (описан выше).

bill_gates_botnet10-2

Возможны два основных режима атаки: в нормальном режиме и режиме ядра.

Режим ядра
Для этого режима используется встроенный в Linux генератор пакетов уровня ядра pktgen. Его преимущество для злоумышленника состоит в том, что трафик генерируется с максимальной возможной для данного сетевого интерфейса скоростью. И сгенерированные таким образом пакеты нельзя увидеть с помощью обычных снифферов, например, стандартного tcpdump, т. к. пакеты генерируются на уровне ядра.

bill_gates_botnet11_sm

Управляется генератор пакетов при помощи набора скриптов/конфигов в директории /proc/net/pktgen. Но перед этим необходимо загрузить модуль pktgen в ядро при помощи вызова команды «modprobe pktgen». Однако подобные вызовы мною обнаружены не были. Судя по всему, вместо них используется вызов «insmod /usr/lib/xpacket.ko», но, как и было сказано ранее, такой файл по умолчанию отсутствует в системе. Соответственно, в данной версии зловреда режим ядра не функционирует.

Тем не менее, зловред пытается записать несколько файлов в директорию /proc/net/pktgen, а именно:

  1. файл — /proc/net/pktgen/kpktgend_%d — для каждого ядра процессора, где %d — номер ядра, начиная с 0. Содержание файла:

rem_device_all
add_device eth%d
max_before_softirq 10000

bill_gates_botnet12_sm

2. файл — /proc/net/pktgen/eth%d — для каждого ядра процессора, где %d — номер ядра, начиная с 0. Содержание файла:
count 0
clone_skb 0
delay 0
TXSIZE_RND
min_pkt_size %d
max_pkt_size %d
IPSRC_RND
src_min %s
src_max %s
UDPSRC_RND
udp_src_min %d
udp_src_max %d
dst %s
udp_dst_min %d
udp_dst_max %d
dst_mac %02x:%02x:%02x:%02x:%02x:%02x //MAC-адрес шлюза из g_statBase
is_multi %d
multi_dst %s //если адресов для атаки несколько (т. е. значение в предыдущей строке не равно 0), то они задаются в этих строках, количество которых соответствует предыдущему параметру
pkt_type %d
dns_domain %s
syn_flag %d
is_dns_random %d
dns_type %d
is_edns %d
edns_len %d
is_edns_sec %d
Значения большинства параметров pktgen передаются через параметры команды от cupsdd.

3.файл — /proc/net/pktgen/pgctrl, содержащий строку «start».

Нормальный режим атаки

Как и в atddd нормальный режим атаки работает через сокеты (raw sockets).
Здесь возможны следующие типы атак:

CAttackSyn — TCP-SYN флуд.
CAttackUdp — UDP флуд. (как и в atddd)
CAttackDns — DNS флуд. (как и в atddd)
CAttackIcmp — ICMP флуд. (как и в atddd)
CAttackCc — HTTP-флуд.
CAttackAmp — DNS Amplification.
Особенность последней заключается в том, что пакеты отправляются к уязвимым DNS-серверам с указанием адреса цели атаки в качестве IP-адреса отправителя. Таким образом, злоумышленник отправляет небольшой пакет с DNS-запросом, а DNS-сервер отвечает цели атаки значительно большим по объему пакетом. Список уязвимых DNS-серверов хранится в файле libamplify.so, который записывается после получения соответствующей команды от C&C.

bill_gates_botnet13-2

Post Scriptum. BillGates v1.5

Данная версия троянца появилась несколько позднее и на данный момент, вероятно, является последней. По сути, это все тот же cupsdd, только «доведенный до ума». Код в целом стал более логичен, плюс появилась пара новых функций.

Наиболее существенные изменения произошли в модуле «Gates», т.е. в файле cupsdd. Теперь у него есть три режима работы. Выбор режима работы осуществляется на основании того откуда был запущен файл. Конкретнее, если файл запущен из /usr/bin/pojie, то выбирается режим мониторинга, иначе – режим установки и обновления, который в дальнейшем переходит в режим управления модулем «Bill».

bill_gates_botnet14

1. Режим установки и обновлений.
Сначала завершает свой процесс, работающий в режиме мониторинга, если таковой имеется. Его PID храниться в файле /tmp/moni.lock

Далее переустанавливает и перезапускает модуль «Bill».

Затем, если существует процесс работающий в режиме управления модулем «Bill», то он завершается. Его PID хранится в файле /tmp/gates.lock

Если установлен флаг g_iIsService (получается тем же образом, что и предыдущей версии) то прописывает себя в автозагрузку тем же способом, что и ранее (в предыдущей версии).

Далее записывает путь до себя в файл /tmp/notify.file и самокопируется в файл /usr/bin/pojie. После чего запускает свою копию, которая, очевидно, будет работать уже в режиме мониторинга, а сам переходит в режим управления модулем «Bill».

2. Режим мониторинга.
Записывает PID текущего процесса в файл /tmp/moni.lock. Далее запускает два потока для мониторинга модуля «Bill» и мониторинга модуля «Gates», работающего в режиме управления. И если один из этих процессов на данный момент не запущен, то нужный файл заново создается и запускается.

3. Режим управления модулем «Bill».
Действия, совершаемые модулем Gates в этом режиме, полностью соответствуют действиям, которые совершал этот же модуль в предыдущей версии троянца (после установки модуля Bill и инициализации необходимых ему переменных и структур).

Таким образом, в новой версии троянца авторы добавили ему немного «живучести», но основной функционал остался без существенных изменений.

Стоит также отметить, что прописанный в коде IP-адрес C&C сервера остался прежним (116.10.189.246), однако изменился номер порта – 36008 вместо прежнего 30000.

ИСТОЧНИК

АМЕРИКОСЫ УДЕЛАЛИСЬ С ПОЛНЫМ ПОЗОРОМ — ИСПУГОМ ОТ ВИДА РУССКИХ РУССКИХ СОЛДАТ — ОПОЛЧЕНЦЕВ

https://i0.wp.com/mtdata.ru/u25/photo3D77/20794772020-0/original.jpg

С начала военной кампании против Новороссии трупы американских наёмников попадались под ноги ополченцам довольно часто, но со временем число их стало сокращаться, а лающая американозычная речь, стала всё реже звучать в радиоэфире.

Оказалось, что американские наёмники стали в массовом порядке покидать Украину, наплевав на условия контрактов.

Дело в том, что лёгкая фобия в отношении русских, сформированная голливудскими фильмами, после последних событий плавно переросла в парализующий ужас. Когда они ехали воевать, они полагали, что будут иметь дело с вежливыми зелёными человечками, но по прибытию к месту боевых действий оказалось, что им противостоят давно немытые и небритые плохо экипированные ополченцы в полосатых тельняшках-синглетах, вид которых неожиданно совпал с киношными образами из детских американских страшилок. Хорошо ещё, что это произошло летом – зимой бы они вместо тельняшек увидели настоящих головорезах в ватниках и ушанках, и тогда узревшие столь страшное зрелище, провели бы остаток дней в биотуалете.

– Там совершенно невозможно воевать, – заявил один из вернувшихся. Я был в Афганистане, лицом к лицу сталкивался с талибами, но такого зверского выражения глаз я никогда не встречал. Этот тяжёлый взгляд ощущается за тысячу ярдов, и когда находишься на позициях, сотни таких взглядов просверливают тебя с той стороны фронта. Жуткое ощущение.

– С русскими должны воевать только украинцы, которые тоже «типа русские» (a kind of Russian), – вторит ему его напарник по несчастью, – только они могут выдержать то невыносимое психологическое напряжение, которое висит над Восточным фронтом.

ИСТОЧНИК

 

Команда Яндекс.Диска сообщила, что пострадавшие от нестабильной версии Windows-приложения получат компенсацию. Все пользователи, которые могли потенциально пострадать, получили дополнительные 200 ГБ на Диске.

проверка обновления Яндекс диска
Проверка обновлений Яндекс.Диска

Напомним, в выходные многие пользователи Яндекс.Диска столкнулись с неприятной проблемой — обновление программы удаляло системные файлы операционной системы. Как поясняют сами разработчики, в одном из последних обновлений Яндекс.Диска для Windows они допустили ошибку в модуле деинсталляции приложения. Проблема могла проявляться у тех пользователей, которые установили приложение для всех пользователей системы или с правами «Администратора», при ручном удалении или автоапдейте с версии 1.1.5. на 1.1.6 или 1.1.7. Иногда ошибка приводила к удалению системных файлов, в крайних случаях — к неработоспособности операционной системы.

Отмечается, что каждый новый релиз Яндекс.Диска проверяется ручными и автоматическими тестами, но в этот раз разработчики не смогли обнаружить неисправность из-за цепочки «несчастливых совпадений». По данным Яндекса, нестабильную версию установили менее 1% пользователей приложения для Windows. Как только проблема была локализована, был выпущен новый релиз, который не содержит подобных ошибок и блокирует неисправный модуль предыдущей версии.

Команда Яндекс.Диска обещает, что обновление программы до стабильной версии в подавляющем большинстве случаев происходит сейчас автоматически и не несет рисков. Тем не менее, всем пользователям Windows-приложения рекомендуется проверить, установлена ли у вас стабильная версия 1.1.8 и выше. Для этого необходимо выбрать следующие пункты меню Диска: «Справка» — «О программе» — «Проверить обновления».

Всех, кто успел получить нестабильные версии Яндекс.Диска (от 1.1.5. до 1.1.7.), разработчики предупреждают по электронной почте о возможных сбоях в работе операционной системы и объясняют, как нужно поступить. Также было решено сделать компенсацию всем пользователям, у которых была установлена некорректная версия программы — независимо от того, нарушила она работу компьютера или нет. Они получают по 200 ГБ дополнительного места на Яндекс.Диске на неограниченный срок.

ИСТОЧНИК

Большинство россиян игнорируют базовые меры безопасности в интернете, сообщает антивирусная компания ESET со ссылкой на результаты собственного опроса в соцсетях, в котором приняли участие 1500 респондентов.  Им нужно было ответить на вопрос: «Используете ли вы один и тот же пароль для двух и более аккаунтов в соцсетях, электронной почте, интернет-магазинах и на других сервисах?».  Выяснилось, что 57% пользователей подвергают риску свои аккаунты, не «заморачиваясь» придумыванием новых паролей. 43% опрошенных заявили, что нередко используют для регистрации повторяющиеся пароли, а 14% — что авторизуются с одним и тем же паролем во всех своих аккаунтах. Только 43% респондентов ответили, что придумывают новый пароль для каждого используемого ресурса. По данным ESET Russia, 60% учетных записей пользователей соцсетей хотя бы один раз подвергались взлому, а 25% аккаунтов взламывались неоднократно.

57% россиян используют одинаковый пароль для разных ресурсов

ИСТОЧНИК

Яндекс закрывает Я.ру

сегодня, в 13:37

Мы закрываем наш хостинг блогов — Я.ру. До конца лета все блоги и клубы перестанут быть доступны. Не беспокойтесь, никакие материалы при этом не пропадут. Уже сегодня у пользователей Я.ру появилась возможность перенести все свои записи в Живой Журнал — создать новый аккаунт или добавить к существующему. Все ваши друзья с Я.ру, которые зарегистрированы в ЖЖ, автоматически окажутся у вас в друзьях и там. Переехать можно до 1 ноября. Кроме того, мы сохраним полный архив каждого пользователя — все записи, комментарии и посты в клубы. Архив вы сможете найти на вашем Яндекс.Диске.

Я.ру был открыт в апреле 2007 года. В 2009 году сервис был одним из четырёх крупнейших блогохостингов в рунете — вместе с LiveJournal, Blogs.Mail.ru и LiveInternet. После этого популярность Я.ру стала уменьшаться — собственно, вместе со спадом популярности блогосферы в целом и ростом соцсетей. Разработка была заморожена, и сервис фактически перестал развиваться.

Сейчас хотя бы раз в месяц обновляется около 0,3% из открытых на сервисе дневников. В сутки появляется в среднем всего 1500 новых комментариев. Очевидно, что большинство людей предпочитает писать и общаться в социальных сетях на других площадках. В такой ситуации поддерживать Я.ру становится сложно и нецелесообразно. Поэтому мы и приняли решение о закрытии.

Изменения ожидают и еще один сервис — Яндекс.Видео. В августе на сервисе останется только поисковая часть — она продолжит работать в полном объёме и будет развиваться и дальше. Загружать новые видеоролики можно будет только на Яндекс.Диск, при этом возможности публичного просмотра будут ограничены. Всё видео, которое вы уже загрузили, также окажется на Диске — и вы бесплатно и навсегда получите место для его хранения. На Диске есть просмотр видео, роликами по-прежнему можно делиться с друзьями. Для многих наших пользователей это более удобный и современный способ хранить свои личные записи.

Спасибо всем нашим пользователям. Но не прощаемся — до встречи на Яндекс.Диске и других сервисах.

ИСТОЧНИК

Встречаются русский, немец и поляк: особенности национальной киберохоты

Эксперты «Лаборатории Касперского» составили общую картину киберугроз для россиян, сравнив их с опасностями, подстерегающими пользователей в других странах — Германии, Польше, Китае и США. Данные для исследования были получены от пользователей, согласившихся отправлять статистику срабатывания защитных механизмов продуктов «Лаборатории Касперского» в облачный сервис Kaspersky Security Network.

Согласно полученным данным, российские пользователи «лидируют» по количеству срабатываний веб-антивируса — в среднем это происходит 37 раз за год. За ними следуют жители Германии и США (18 и 11 соответственно). Реже всего эти инциденты происходят у пользователей из Китая — 8 раз в год. Такую же диспозицию можно наблюдать в рейтинге пользователей, у которых веб-антивирус сработал как минимум один раз: Россия имеет самый высокий показатель — 54,5%, а Китай — самый низкий, 32%.

Сравнение статистики по компьютерным угрозам в различных странах

Отдельного внимания заслуживает специфика распространения программ-вымогателей, в том числе нашумевшего в этом году троянца Cryptolocker, искажающего данные на жестком диске пользователя с помощью криптографических преобразований, а затем требующего денежного перевода для их дешифрования. Cryptolocker получил наибольшее распространение в англоговорящих странах: так, в США зарегистрировано более 1200 заражений. В идущем с большим отставанием Китае количество жертв этого троянца на порядки ниже и измеряется несколькими десятками. В Германии, России и Польше число подобных инцидентов было минимально.

Также подтверждается наблюдаемая в течение многих месяцев тенденция расположения вредоносных серверов в США и России — 45% всех веб-атак в 2013 году, проводились с использованием вредоносных ресурсов, расположенных на территории этих стран. Германия в мировом рейтинге занимает 4 место c долей 12,5%. Интересно, что из первой десятки выбыл Китай, властям которого в последние годы удалось убрать из локального киберпространства множество вредоносных хостингов, а также ужесточить правила регистрации доменов в зоне .cn. После этого доля вредоносных хостингов в Китае резко сократилась: если в 2010 году Китай занимал 3 место, то по итогам 2013 года он опустился 21-ю позицию в рейтинге.

По риску локального заражения из 5 рассмотренных стран лидирует Китай с уровнем 47%. За ним следует Россия с долей 42% — обе страны относятся к группе с высоким уровнем заражения. Оставшаяся тройка отнесена к группе «среднего уровня» — США демонстрирует наименьший из 5 стран уровень риска 29%. Следует отметить, что уязвимости операционных систем зачастую являются причиной успешного проведения атак. При этом многие пользователи во всем мире по-прежнему предпочитают Windows XP, несмотря на сомнения многих экспертов в безопасности этой системы и объявление Microsoft о намерении завершить в апреле следующего года ее поддержку.

«Несмотря на различия показателей по количеству срабатываний антивируса и риску заражения в Интернете, способы проведения атак во всех странах схожи. В первую очередь, это атаки с использованием эксплойтов через уязвимости веб-браузеров и их плагинов: так, если пользователь попадает на скомпрометированный сайт, он может подвергнуться заражению при наличии устаревших программных компонент на своем компьютере, — комментирует руководитель группы исследования уязвимостей Вячеслав Закоржевский, «Лаборатория Касперского». — Понимая разнообразие возможных способов заражения, в своих продуктах мы предоставляем защиту от полного спектра актуальных угроз, обеспечивая безопасность по всем фронтам для всех устройств и операционных систем».

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.

Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$q5MUM-4FSs1LWtMhmlGMX4WlxHU5ytoD_yr_8rqaY0p$

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.

****

Служба новостей «Лаборатории Касперского»