image

Zombie PC verstuurt 144.000 spamberichten per dag

maandag 15 januari 2007, 16:43 door Redactie, 16 reacties

Ooit afgevraagd waarom je zoveel spam ontvangt? Onderzoek met een honeypot wijst uit dat twee geinfecteerde machines op een dag meer dan 250.000 spamberichten kunnen versturen. De computers waren geinfecteerd met de Trojan-Proxy.Win32.Lager.gen en FiveSec.Spam.Agent.vx spam trojans.

Binnen 35 minuten waren er al 6000 plaatjes spamberichten verstuurd. De onderzoekers merken wel op dat het cijfer in het "echt" lager ligt, omdat de honeypot over een snelle internetverbinding beschikte. Ze schatten dan ook dat een doorsnee huis, thuis en keuken zombie goed is voor zo'n 60.000 tot 80.000 berichten per dag, wat nog steeds een gigantisch aantal voor één machine is.

Reacties (16)
15-01-2007, 16:53 door Anoniem
Dan lijkt me dat de rpm ook omhoog zou moeten gaan dit toch ook te
horen zou zijn ?
15-01-2007, 19:12 door Anoniem
Door Koekie
Dan lijkt me dat de rpm ook omhoog zou moeten gaan
dit toch ook te
horen zou zijn ?

Wat? Zou je harde schijf sneller gaan draaien?
15-01-2007, 23:46 door Anoniem
Titel zou moeten zijn: 'Zombie Windows PC ...'

Het stoort me nl erg dat PC en Windows OS als gelijke doorgaan.
16-01-2007, 00:17 door Grudge
Niet representatief aangezien er niets word gemeld over OS
en de aanwezige beveiliging apps.
16-01-2007, 02:14 door SirDice
Door TT
Niet representatief aangezien er niets word gemeld over OS
en de aanwezige beveiliging apps.
Drie keer raden waar deze trojans op draaien? En als ze een
machine te pakken hebben kun je ook wel raden naar de staat
van de beveiliging. Doe eens een wilde gok?
16-01-2007, 02:21 door SirDice
Door Koekie
Dan lijkt me dat de rpm ook omhoog zou moeten gaan dit toch ook te horen zou zijn ?
Wat heeft rpm hiermee te maken? En waarom zou dat omhoog moeten gaan?
16-01-2007, 09:23 door Baloe
Door TT
Niet representatief aangezien er niets word gemeld over OS
en de aanwezige beveiliging apps.

Moet je even googelen op "honeypot" dan kan je zelf ook
opmaken hoeveel beveiliging apps er op die machine gedraaid
zouden hebben.
16-01-2007, 11:33 door Anoniem
Je merkt toch wel dat je (windows) pc een stuk langzamer wordt hiermee.
16-01-2007, 20:03 door SirDice
Door Anoniem
Je merkt toch wel dat je (windows) pc een stuk langzamer wordt hiermee.
Ik denk dat de meeste het niet eens opvalt.. Die doen niet veel meer dan af en toe een half A4tje typen, een beetje emailen en wat surfen. Dan drukt zo'n 3 GHz processor er ondertussen wel ff een paar honderd spammailtjes er door als'ie toch voor 99.999% van de tijd staat te idlen.
16-01-2007, 22:17 door Grudge
Door Broer konijn
Door TT
Niet representatief aangezien er niets word gemeld over OS
en de aanwezige beveiliging apps.

Moet je even googelen op "honeypot" dan kan je
zelf ook
opmaken hoeveel beveiliging apps er op die machine gedraaid
zouden hebben.

Resultaten 1 - 10 van circa 1.710.000 voor honeypot

http://www.honeynet.org/ is 1 van mijn hobby's.. ;)
16-01-2007, 22:30 door Grudge
Door SirDice
Door TT
Niet representatief aangezien er niets word gemeld over OS
en de aanwezige beveiliging apps.
Drie keer raden waar deze trojans op draaien? En als ze een
machine te pakken hebben kun je ook wel raden naar de staat
van de beveiliging. Doe eens een wilde gok?

OS:
XP SP? ,2003? Home? Professional?, MCE?, TabletPc?

Afhankelijk is ook de complexiteit van de gebruikte Trojan
en het misbruikte exploot.
Er kan een 3rd party software / driver exploot zijn
misbruikt etc.
Ook is het gebruikte netwerk van belang aangezien de ene
provider zijn netwerk beter heeft ingericht dan het andere.
17-01-2007, 13:33 door SirDice
Naam: Trojan-Proxy.Win32.Lager.gen..

Door TT
OS:
XP SP? ,2003? Home? Professional?, MCE?, TabletPc?
Is allemaal Win32, niet?
Afhankelijk is ook de complexiteit van de gebruikte Trojan en het misbruikte exploot.
Er kan een 3rd party software / driver exploot zijn misbruikt etc.
Het waren de Trojanen zelf die de poort opende om het houten paard naar binnen te rijden. Dus heeft de gebruiker 'm zelf geactiveerd. Dit stuk malware heet niet voor niets een trojan.

Proxy, lijkt me ook een aardig weggevertje. Je hebt geen admin rechten nodig om een e-mail te verzenden, je hebt ook geen admin rechten nodig om een poort te openen.. Ergo, geen exploit nodig.

De enige bug die dit ding misbruikt zit tussen de oren van de gebruiker (PEBKAC).

En over het netwerk:
However, in real life, the real number would be lower, probably 60,000 to 80,000 messages per day (we’re dealing with fast DNS servers and gobs of bandwidth here, so our tests will always show higher rates than real-world).
17-01-2007, 16:43 door Anoniem
Door SirDice
Naam: Trojan-Proxy.Win32.Lager.gen..

Door TT
OS:
XP SP? ,2003? Home? Professional?, MCE?, TabletPc?
Is allemaal Win32, niet?
Afhankelijk is ook de complexiteit van de gebruikte
Trojan en het misbruikte exploot.
Er kan een 3rd party software / driver exploot zijn
misbruikt etc.
Het waren de Trojanen zelf die de poort opende om het houten
paard naar binnen te rijden. Dus heeft de gebruiker 'm zelf
geactiveerd. Dit stuk malware heet niet voor niets een trojan.

Proxy, lijkt me ook een aardig weggevertje. Je hebt geen
admin rechten nodig om een e-mail te verzenden, je hebt ook
geen admin rechten nodig om een poort te openen.. Ergo, geen
exploit nodig.

De enige bug die dit ding misbruikt zit tussen de oren van
de gebruiker (PEBKAC).

En over het netwerk:
However, in real life, the real number would be
lower, probably 60,000 to 80,000 messages per day (we’re
dealing with fast DNS servers and gobs of bandwidth here, so
our tests will always show higher rates than
real-world).

In real live....?

Al die rommel is door de onderzoekers op het systeem
geplaatst dus is het systeem niet over een netwerk
geinfecteerd geraakt, maar alleen is misbruikt. Er zijn
verschillende providers die je verbinding op slot doen zodra
er abnormale hoeveelheden email / data word verzonden.
17-01-2007, 18:40 door SirDice
Door Anoniem
In real live....?
Life
Al die rommel is door de onderzoekers op het systeem geplaatst dus is het systeem niet over een netwerk geinfecteerd geraakt, maar alleen is misbruikt.
Er is nergens beweerd dat dit niet het geval zou zijn. Er staat in de eerste zin:
Our folks in spyware research infected two machines with spam bots
Bovendien, en de top10 virussen geeft dat ook aan, zijn er genoeg mensen die maar lukraak wat aanklikken.
Er zijn verschillende providers die je verbinding op slot doen zodra er abnormale hoeveelheden email / data word verzonden.
Gezien de hoeveelheid spam die ik mag ontvangen, blijkbaar nog lang niet allemaal. Persoonlijk zou ik ook niet willen dat mijn provider dat zou doen. Als ik een keer een mailing de deur uit doe word ik gelijk afgesloten. Ik verwacht wel van een ISP dat deze de gebruiker op de hoogte stelt als er abuse klachten binnenkomen en indien hier niet adequaat op gereageerd wordt (abuse blijft) dat dan die gebruiker wordt afgesloten.
17-01-2007, 23:07 door Anoniem
Door SirDice
Naam: Trojan-Proxy.Win32.Lager.gen..

Door TT
OS:
XP SP? ,2003? Home? Professional?, MCE?, TabletPc?
Is allemaal Win32, niet?
Afhankelijk is ook de complexiteit van de gebruikte
Trojan en het misbruikte exploot.
Er kan een 3rd party software / driver exploot zijn
misbruikt etc.
Het waren de Trojanen zelf die de poort opende om het houten
paard naar binnen te rijden. Dus heeft de gebruiker 'm zelf
geactiveerd. Dit stuk malware heet niet voor niets een trojan.

Proxy, lijkt me ook een aardig weggevertje. Je hebt geen
admin rechten nodig om een e-mail te verzenden, je hebt ook
geen admin rechten nodig om een poort te openen.. Ergo, geen
exploit nodig.

De enige bug die dit ding misbruikt zit tussen de oren van
de gebruiker (PEBKAC).

En over het netwerk:
However, in real life, the real number would be
lower, probably 60,000 to 80,000 messages per day (we’re
dealing with fast DNS servers and gobs of bandwidth here, so
our tests will always show higher rates than
real-world).

Incidentally, these trojans are coming through
Vxgames installs (nasty malware distributors).
18-01-2007, 09:36 door Anoniem
Wat heeft rpm hiermee te maken? En waarom zou dat omhoog
moeten gaan?

anoniem,sirdice

De rpm( rotation per min) van de cpu cooler bedoel ik.Wanneer de cpu meer taken uitvoerd zou je toch ook verwachten gezien de "koeling" dat deze ook luider zou worden als de procesor meer belast zou worden met versturen van spam mail.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.