SIA “GARM Technologies” uztur “NGR bot” robottīkla komandserveri

Kategorija: Incidenti + Kibernoziegumi + Ļaunatūra

Доброго времени суток,
На вашем, предположительно, выделенном сервере с IP-адресом:
* Dns resolved secure1.serveriem.lv to 85.31.102.11 расположен BNC-сервер, с которого контролллируется крупный IRC-ботнет, расположенный на серверах:
* Dns resolved irc1.eu.org to 91.194.77.98
* Dns resolved irc.znc.lv to 91.194.77.115

Вирус удалось подцепить с одной из раздач на латвийском торрент-трекере filebase.ws – точную раздачу, увы, вспомнить не могу, поскольку инфицировался человек не разбирающийся в этих тонкостях. Так же хочу отметить что UnrealIRCD хитро собран для того, чтобы простой пользователь не смог обнаружить ботнет. Более того, эти сервера слинкованы с другой российской сетью. Владельцы ботнетов на скрытых каналах находится под ником: dekuevo
dekuevo H ~dk@secure1.serveriem.lv :2 Deniss Van De Man
Одного из них предположительно зовут Дмитрий.
Лог-файл ниже (просмотрел активность .exe процесса):

Remote Host Port Number
213.251.170.52 80
91.194.77.98 6667 PASS ngrBot

PRIVMSG #ng# :[HTTP]: Updated HTTP spread message to “visit http://goo.gl/o269r”
NICK n{US|XPa}kffoslr
USER kffoslr 0 0 :kffoslr
JOIN #ng# ngrBot
PRIVMSG #ng# :[MSN]: Updated MSN spread interval to “3”
PRIVMSG #ng# :[HTTP]: Updated HTTP spread interval to “3”
PRIVMSG #ng# :[MSN]: Updated MSN spread message to “Visithttp://goo.gl/o269r |”

Session Start: Mon Apr 07 21:13:59 2012
[9:16] (n{MX|W7-32a}qpbthmj) Chrome -> http://twitter.com/ -> kryz_kryz : tamaki16
[9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryz_kryz : tamaki16
[9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/settings/account -> kryzz_160993@hotmail.com : marina
[9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryzz_codebreaker : tamaki16
[9:16] ({SE|W7-32a}rljneaf) Chrome ->http://twitter.com/ -> inese.77@inbox.lv : tomassr4
[9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryzz_breaker : marina
[9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/neeldelazaroK -> kryzz_breaker : marina
[9:16] (n{ID|W7-32u}ewxsrbe) Chrome ->http://twitter.com/ -> Anaslol28@yahoo.com : 4nt1v1rus
[9:16] (n{BR|W7-64u}ucigrit) Chrome -> https://twitter.com/ -> Paulo_Marks : 2010eva2011
[9:16] (n{MX|W7-32a}qpbthmj) Chrome ->http://twitter.com/intent/session -> kryz_kryz : tamaki16
[9:34] @(dekuevo) .usb on
[9:34] ({DE|W7-64a}mkliata) Updated a previous USB LNK spread on: G: with a newer file: 557DD93CA3D70B4DD6905EEC14C871DD.
[9:34] ({ES|W7-32u}mivhcdx) Updated a previous USB LNK spread on: H: with a newer file: 0F1566CE70933357A09D0BE60575F313.
[9:34] (n{FR|W7-64u}yykzyxo) Completed USB LNK spread on: I: with 6 folders.
[9:34] (n{AR|VI-32u}lsomlcr) Completed USB LNK spread on: D: with 11 folders.
[9:34] @(znc) сча ёбнем
[9:35] ({BR|W7-64u}pblumuz) Completed USB LNK spread on: F: with 49 folders.
[9:55] @(znc) надо ещё одну впску взять в германии
[9:55] @(dekuevo) блядь
[9:56] (n{BR|W7-32u}hvxvgpj) Executed:’C:Usersnot-saudeAppDataRoamingbhmmcr.exe’, Type: Native, Size: 174592 bytes.

После чего меня забанили:
[9:58] Error from Server [Closing Link: user111[81.198.74.11] (User is permanently banned (suka)]
Убедительная просьба принять меры!

Viens no robottīkla vadītājiem “dekuevo” pieslēdzas komandserverim no SIA “Nano IT” dalīta hostinga servera secure1.serveriem.lv. Interesanti, ka šāda pieeja parasti netiek nodrošināta dalītā servera lietotājiem.
Internetā atrodama informācija, ka iepriekš šī robottīkla komandserveris atradies Nīderlandē.

Reģistrācijas datums: 01.03.2012.
Reģistrācijas numurs: 52103059371
Firma: sabiedrība ar ierobežotu atbildību “DEKUEVO”
Adrese: Liepāja, Piltenes iela 2-24
Parakstītais pamatkapitāls: 1 LVL
Apmaksātais pamatkapitāls: 1 LVL
Valde: Deniss Kuzičkins, personas kods 231085-XXXXX, valdes loceklis, ar tiesībām pārstāvēt kapitālsabiedrību atsevišķi
Publikācijas Nr.: KMR00056287710740.

Avoti:
pastebin.com: http://pastebin.com/JZd3xmei

Follow defenselv

2012-04-25  »  edgars