Showing posts with label mebroot. Show all posts
Showing posts with label mebroot. Show all posts

RBN – Out with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New and in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Old – Mebroot

The Russian Business Network (RBN) is using one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir usual deceptive approaches of confusing by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of old domains and recycling exploit techniques, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with Mebroot. There has rightly been a great deal of press (see links below) concerning Mebroot as identified by Symantec on Jan 8th 08. This is a rootkit exploit that overwrites part of a computer's hard drive called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Master Boot Record (MBR). This is still deadly and a difficult exploit with is its ability, once established and undetected it confound most anti-virus software, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose is to hijack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user’s PC which will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n redirect to download ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploits to steal banking information and ID cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft. Good news is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some straight forward detection and removal tools e.g. GMER – also see on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir website a great write up of how a rootkit actually works.




So what is new? Well cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit sites are now using a fast-flux P2P botnet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit is polymorphic i.e. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to alter its form and mutate. But this approach is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same old stuff by a different name, it is: Torpig, Anserin, Gromozon, etc……even using some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old domains for distribution. So where does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “new” exploit names come from, unfortunately us. Our constant reductionist approach to BadWare is utilized by RBN to confound and we play right into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hands, every time we rename cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir stuff it makes it easier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to blend into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confusion. The old is forgotten or not reported and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old stuff all over again, when we all start using a commonly accepted holistic linguistic approach to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, we may win this war.


For details a “small” sample, especially for our Italian Gromozon readers:


This particular example callsolutions(dot)biz is on one of our old friends Pilosoft AS26627, with a bunch of RBN’s “very young” erotic sites sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name server – a(dot)ns(dot)joker(dot)com.

As a comparative link, and no RBN blog article would be complete without mention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN’s US division – kopythian(dot)com - Atrivo AS27595; AKA Inhoster, Intercage, and pecb(dot)cc at Atrivo’s Cernal AS36445.




Also just so no-one could say we are picking on Atrivo or where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN link? See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following “joining up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dots” of a very small sample out of 100’s of exploit domains on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same Atrivo name server managedns1.estboxes.com:




2007postcards(dot)com (Storm),
malwareburn(dot)com (rogue anti-virus),
procodec(dot)com (fake codec),
virusheal(dot)com (rogue anti-virus),
xxl-cash(dot)com (RBN payment site) –
plus a cryptic graphic for our readers from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know this is not guesswork.






IP figures:







Gmer - anti-rootkit download

Gmer - how a rootkit works

Symantec - Mebroot article

BBC - Mebroot