image

Broncode van 300 bots en botnets via Torrent ontdekt

dinsdag 4 juni 2013, 08:21 door Redactie, 8 reacties

Beveiligingsonderzoekers hebben via een anonieme tip de broncode van meer dan 300 bots en botnets ontdekt. De tip wees de onderzoekers naar een Duits torrent-account, wat weer naar een bestand wees waar de kwaadaardige content werd aangeboden. Onderzoekers van Malware Must Die! wisten het bestand te downloaden voordat het opeens offline werd gehaald.

De meeste broncode is vrij oud, tussen de 3 en 4 jaar, en voornamelijk van bots en botnet-clients. "En sommige zijn nog steeds bruikbaar", aldus de onderzoekers. Onder de aangetroffen bots bevindt zich onder andere de bekende banking Trojan Zeus, IRC-bots en ransomware om computers voor losgeld te gijzelen.

FTP-server
Na intern beraad besloten de onderzoekers alle gevonden informatie met de beveiligingsindustrie, de autoriteiten en bekende onderzoekers te delen. Daarbij wordt er niet met een downloadlink gewerkt, maar wordt het bestand met de broncodes naar de FTP-server van geïnteresseerden gestuurd. Dit vanwege de omvang van het bestand en beveiligingsredenen.

"Ik bedoel FTP, dus geen Dropbox, Google Drive of file sharing en geen discussie hierover, aangezien we hier onze eigen beveiligingsredenen voor hebben", aldus één van de onderzoekers, die ook een overzicht van alle aanwezige bots en botnet-clients online zette.

Reacties (8)
04-06-2013, 09:17 door Anoniem
vriendelijke onderzoekers... en bovendien wat is hier interessant aan? hackforums staat vol met 0day malware source, 1 torrent met wat source code uit 2009 lijkt me niet echt relevant.
04-06-2013, 09:25 door SphaZ
Want FTP is tenslotte een geweldig veilig protocol zonder enige security problemen.

kuch
04-06-2013, 09:42 door RickDeckardt
Uh... is dit nieuws?!

Iemand heeft de database van Th3-0uTl4wS gevonden... uit 2010, die prachtig online staat...
Laat mij het u het googlen besparen, get your old stuff here: http://database.th3-0utl4ws.com/

Oppassen, zitten live virussen tussen, studeerze!
04-06-2013, 10:10 door [Account Verwijderd]
[Verwijderd]
04-06-2013, 10:14 door Whacko
Door SphaZ: Want FTP is tenslotte een geweldig veilig protocol zonder enige security problemen.

kuch
wel als je met TLS authenticatie werkt ja.
04-06-2013, 11:00 door Anoniem
dit stond in 2009 al op Russische fora, tenminste het grootste deel van de lijst.
05-06-2013, 15:11 door Anoniem
Door AnonymousSecurity: Zelfs de Zeus broncode was al een tijdje te vinden als torrent

En die code was van 14-10-2010 23:00 En de persoon die dat geprogrammeerd heeft wist heel goed waar die mee bezig was.

Het is "eng" om te zien hoe de volle kracht van C++ gebruikt icm inline assembly is en ook alle opties die er zijn De gebruiker wordt werkelijk op alle gebieden aangevallen. Die programmeur(s) koos/kozen zeer bewust voor de moeilijke levensweg ook al d8 die slim te zijn.

Je moet wel totaal gewetenloos zijn om dit soort software "los" te laten.

Maar goed we zijn niet allemaal het zelfde.

Die zeus software valt je echt op alle gebieden aan:
ftp,http, injectie, bot install,update,install, alle mail protocollen, screendumps, ssl, registry, flash, diverse executables, remote command en het gaat maar door..er komt geen einde aan.

Ik heb toch wel wat gezien maar dit slaat alles.


Ik heb de broncode destijds ook bekeken en de auteur gebruikte slechts een beperkt aantal features van C++, met name namespaces. Sterker nog, er werd nagenoeg geen OO code gebruikt. Dit is op zicht niet slecht want je wil je malware natuurlijk zo compact mogelijk houden, wat met OO niet altijd zo makkelijk is.
05-06-2013, 21:36 door AapNootMies
Voor de geinteresseerden:

De torrent is een dump van deze database: http://database.th3-0utl4ws.com/index.php?dir=Bots%2F
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.