The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Отчет о работе ботнета STORM

09.11.2008 00:03

Исследователи из университетов Калифорнии, Сан Диего и Беркли (США), представили отчет "Spamalytics: An Empirical Analysis of Spam Marketing Conversion" (PDF, 1.9Мб) с результатами анализа особенностей работы ботнета STORM, на долю которого приходится рассылка 20% всего спама в сети. Используя заражение машин через загрузку троянской программы при клике на подставные ссылки в теле спам сообщений, ежедневно в ботнет вливается от 3500 до 8500 новых машин.

Ботнет состоит из 4 уровней: точка управления ботнетом, группа основных серверов (для управления рассылкой спама и организации выполнения команд на конечных узлах), набор прокси-ботов и непосредственно машины исполнители. Для взаимодействия между уровнями задействованы технологии P2P сетей, в частности 2 протокола: шифрованные сообщения на основе UDP для формирования сети ботнета (соединение и поиск узлов, составления карты сети) и управляющий протокол на основе TCP.

Для оценки эффективности спама было исследовано три типовые рекламные кампании - реклама лекарств, открытка и первоапрельская шутка. Процент доставки спама в ящики пользователей составил 23.8%, 25.2% и 25.2%, остальное было отфильтровано антиспам фильтрами или отправлено на несуществующие адреса. На ссылку, рекламируемую в спаме, перешло 0.00303%, 0.00457% и 0.00680% пользователей, а товар купило 0.0000081%, 0.000378% и 0.000561%. Для большей наглядности - отправлено 347 миллионов писем, доставлено 82 миллиона, на сайт зашли 10 тысяч пользователей, а купили товар 28 человек. Тем не менее по приблизительным оценкам доход от продажи товаров рекламируемых в спаме, рассылаемом через ботнет сеть STORM, составляет около 3.5 миллионов долларов в год.

  1. Главная ссылка к новости (http://voices.washingtonpost.c...)
  2. OpenNews: Представители армии США предлагают создать военный ботнет
  3. OpenNews: Исследование работы децентрализованных ботнетов и способы их разрушения
  4. OpenNews: На конференции RSA был представлен ботнет из 400 тыс. зомби-машин
  5. OpenNews: 85% спама рассылается через шесть ботнетов
Лицензия: CC-BY
Тип: английский / Обобщение
Ключевые слова: botnet, securitty
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (29) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, User294 (ok), 02:51, 09/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Неслабый отчет.Пиплы грамотно изучили противника.Что интересно - протоколы для координации отправки спама по продвинутости спокойно дадут фору такому гогну как SMTP...
     
     
  • 2.8, Щекн Итрч (ok), 10:25, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Неслабый отчет.Пиплы грамотно изучили противника.Что интересно - протоколы для координации отправки спама
    >по продвинутости спокойно дадут фору такому гогну как SMTP...

    Релей закройте :)

     

  • 1.2, darkk (?), 10:15, 09/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Действительно, хорошая работа проделана.
    Считаю, что эту новость стоит вынести в основную ленту новостей.
     
  • 1.3, Аноним (-), 01:30, 10/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это "исследователи" спам рассылали? Если нет, то откуда у них цифры? С потолка? Чушь какая-то.
     
     
  • 2.4, User294 (ok), 07:01, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Это "исследователи" спам рассылали? Если нет, то откуда у них цифры? С
    >потолка? Чушь какая-то.

    Попробуйте прочитать документ - тогда поймете.Если мозга на это хватит.

     
     
  • 3.14, Аноним (-), 13:02, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Бедняга, судя вашей озабоченности чужим мозгом - своего то вам не хватает.
     
     
  • 4.19, Хелагар (ok), 16:37, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Бедняга, судя вашей озабоченности чужим мозгом - своего то вам не хватает.
    >

    Уважаемый Аноним, я конечно понимаю, что сейчас не модно ходить по ссылкам.
    Но может всё-таки попробовать сходить, а потом комментарии писать?
    Чтоб они (комментарии) в тему были.
    Тогда и повода дуться не будет и люди уважать начнут. И в наличии мозга никто совневаться не будет.

     
  • 4.21, User294 (ok), 20:35, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Бедняга, судя вашей озабоченности чужим мозгом - своего то вам не хватает.

    Как ни странно моего мозга хватило на то чтобы пройти по ссылке, прочитать доку и не задавать тупых вопросов в форуме.Потому что в доке не просто ответ на этот вопрос, там подробно расписано, что, как, куда и прочая.Соответственно, сочувствовать лучше тем кто не в состоянии прочитать доку по ссылке, имхо.

     

  • 1.5, Аноним (5), 08:08, 10/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждем официальных отчетов от создателей ботнета!
     
  • 1.6, Аноним3 (?), 09:22, 10/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я вот не могу понять, известно, что ботнет есть, известно чем он занимается, насколько я понял известно и кто его создатели. Почему бы не прикрыть это дело?
     
     
  • 2.7, anonymous (??), 10:01, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Думаешь, у владельцев есть большая красная кнопка "Self-destruct on emergencies"? Что-то мне подсказывает, что однажды запущенный процесс уже не остановить...
     
     
  • 3.9, Viaprog (?), 10:35, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Сталин бы остановил :)
     
     
  • 4.17, Nichls (??), 15:12, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Сталин бы остановил :)

    +100

     
  • 4.22, User294 (ok), 20:42, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Сталин бы остановил :)

    Не факт, во всяком случае, распределенную сеть остановить проблематично.И строго говоря - а кого расстреливать то?Вы вот так запросто можете вычислить кто инициировал ддос или спам, особенно с такой структурой сети?Тогда приходите работать в интерпол, там вас с руками оторвут.Ну или хотя-бы к провайдерам и т.п. - они тоже такого гуру оценят по достоинству :)

     
     
  • 5.25, ReSeT (?), 10:41, 11/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Все просто - расстреливать надо тех, кто заказывает спам... :-)  А без финансовой поддержки все ботнеты сразу пойдут на спад. Есть же закон о рекламе, нужно еще дополнительно прописать действия о спамерах...
     
     
  • 6.27, Guest (??), 20:20, 11/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    И как предлагаешь определять заказчика?
    Я вот накоплю денег и закажу рассылочку с предложением купить Windows 7, изволите расстрелять мсявок?
     
     
  • 7.29, User294 (ok), 20:24, 11/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >изволите расстрелять мсявок?

    Было бы неплохо :D.Даже несправедливым не назовешь - их за многие другие дела можно в расход.Скажем за мошенничество в особо крупных размерах можно и расстрелять пару деятелей показательно ;)

     
  • 7.30, User294 (ok), 20:29, 11/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >И как предлагаешь определять заказчика?

    Прикинуться шлангом. А точнее, заказчиком, ну и взять за жабры, не ботнетчиков так хоть посредников.А дальше - терморектальным криптоанализом, очевидно, можно не только список заказчиков узнать, но и много иной интересной информации...

     
  • 6.28, User294 (ok), 20:24, 11/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Все просто - расстреливать надо тех, кто заказывает спам... :-)

    Вот с этим - согласен.Еще можно пожизненное заключение.Лучше всего - в зоопарке, в клетке.С надписью "спамер".Чтобы другим неповадно было.

     
  • 5.26, sda (ok), 12:30, 11/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Не факт, во всяком случае, распределенную сеть остановить проблематично.И строго говоря -
    >а кого расстреливать то?Вы вот так запросто можете вычислить кто инициировал
    >ддос или спам, особенно с такой структурой сети?Тогда приходите работать в
    >интерпол, там вас с руками оторвут.Ну или хотя-бы к провайдерам и
    >т.п. - они тоже такого гуру оценят по достоинству :)

    Ну расстреляли бы не тех человек 100. Думаю бы все искоренили.

     
  • 3.13, Drag0n7 (??), 11:23, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Думаешь, у владельцев есть большая красная кнопка "Self-destruct on emergencies"? Что-то мне
    >подсказывает, что однажды запущенный процесс уже не остановить...

    Если действительно столько известно об этом ботнете, то остановить вполне реально и даже проще, чем кажется.

     
     
  • 4.31, User294 (ok), 20:41, 11/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Если действительно столько известно об этом ботнете, то остановить вполне реально и
    >даже проще, чем кажется.

    На словах все просто.Потому что "языком трындеть - не мешки ворочать".Охотно посмотрю как вы будете останавливать распределенные сети.

     
  • 2.24, set_rus (?), 06:47, 11/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а ты не задумывался что в твоей организации или даже у тебя дома, возможно, преспокойно живет компьютер, являющийся активным участником этого ботнета... как говорится "и карты в руки"
     

  • 1.10, Michael Shigorin (ok), 11:13, 10/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И вот из-за этих даже не тридцати олухов... :(

    Принцип был понятен, но цифры опять поразили.

     
     
  • 2.11, fresco (??), 11:15, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +1

    сам в шоке

     

  • 1.16, Аноним (16), 14:34, 10/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чую, оборот "антиспамовских" программных продуктов много превышает эти несчастных 3 с плотиной миллиона... Что навевает неприятные мысли.
     
     
  • 2.18, eugene.a.gavringmail.com (?), 16:17, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Чую, оборот "антиспамовских" программных продуктов много превышает эти несчастных 3 с плотиной
    >миллиона... Что навевает неприятные мысли.

    Врядли...имеет право на жизнь, но эта мысль с родни тому, что создатели антивирусов сами пишут эти вирусы.

     
     
  • 3.23, User294 (ok), 20:47, 10/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Врядли...имеет право на жизнь, но эта мысль с родни тому, что создатели
    >антивирусов сами пишут эти вирусы.

    А вы посмотрите на архитектуру какого-нить "каспера" - он сам по себе хардкорный захватчик системы со злющим руткитом, который вышибает вирусню по принципу "а у нас еще длиннее".Ессно - кто первый заинсталил руткит, тот и в дамках, потому его уже просто так не выпрешь ;)

     
  • 3.33, Michael Shigorin (ok), 19:13, 20/11/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Врядли...имеет право на жизнь, но эта мысль с родни тому, что создатели
    >антивирусов сами пишут эти вирусы.

    Вас это действительно удивляет?!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Fornex
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру