Лидером загрузок Curl стало вредоносное ПО

16.11.2015 23:23

Дэниел Cтенберг (Daniel Stenberg), автор cURL, простой и удобной утилиты для выборки данных с использованием различных сетевых протоколов, опубликовал интересные выводы, полученные в результате анализа статистики загрузки с сайта проекта.

В октябре трафик сайта cURL впервые преодолел рубеж в один терабайт в месяц. Изучая статистику, Дэниел заметил, что начиная с июля особой популярностью на странице загрузки стал пользоваться архив curl-7.40.0-devel-mingw32.zip. В октябре этот файл был загружен более 300 тысяч раз, а трафик от загрузки данного архива составил 70% от общего трафика. Загрузка осуществлялась с разных адресов и от приложений с разными идентификаторами User-agent, напоминая активность сошедшего с ума бота.

Разгадка нашлась в докладе сотрудников AVG, описывающих работу одной из вредоносных программ. Вредоносное ПО использовало официальную сборку curl как один из компонентов для организации размещения трояна на скомпрометированной системе. Дэниел переименовал архив, чтобы блокировать какую-то часть атак, но судя по докладу, новые версии вредоносного ПО уже перешли на встраивание функций загрузки и использование библиотеки libcurl.

исправить +26 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/43335-curl

Ключевые слова: curl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (45)

1.2, chinarulezzz (ok), 00:53, 17/11/2015 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
> активность сошедшего с ума бота. феерично.

1.3, Аноним (-), 01:12, 17/11/2015 [ответить] [﹢﹢﹢] [ · · · ]	+36 +/–
Надо запретить curl, он используется для незаконной деятельности больше, чем для чего-то ещё.

2.4, Аноним (-), 01:40, 17/11/2015 [^] [^^] [^^^] [ответить]	+7 +/–
Ой..., смотри, накаркаеш.

2.5, cmp (??), 01:40, 17/11/2015 [^] [^^] [^^^] [ответить]	+9 +/–
Зачем такие полумеры, надо запретить закачку файлов, а еще лучше запретить все, кроме твиттера и сайта госуслуг))

3.32, dq0s4y71 (??), 13:35, 17/11/2015 [^] [^^] [^^^] [ответить]	+7 +/–
Твиттер тоже запретить.

4.41, hhh (?), 17:01, 17/11/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Распилить бюджеты на создание православного Чикчирикальника сначала.

5.47, Аноним (-), 18:38, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
> Распилить бюджеты на создание православного Чикчирикальника сначала. Не сначала, а потом. Чтобы народ изголодался по 140 символам и скушал, урча маянезиком.

6.58, DeadLoco (ok), 12:04, 22/11/2015 [^] [^^] [^^^] [ответить]	+/–
Трех символов должно хватить.

5.48, Аноним (-), 19:25, 17/11/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> Чикчирикальника Кукарекальника

6.53, i_stas (ok), 00:34, 18/11/2015 [^] [^^] [^^^] [ответить]	+/–
каждому - своё

2.6, Аноним (-), 01:42, 17/11/2015 [^] [^^] [^^^] [ответить]	+5 +/–
Нужно запретить запрещать.

3.7, ANONYM (?), 02:14, 17/11/2015 [^] [^^] [^^^] [ответить]	+6 +/–
Так запрещали уже. Но запрещаторы кладут на запреты.

3.8, Аноним (-), 02:17, 17/11/2015 [^] [^^] [^^^] [ответить]	+13 +/–
Перед этим надо запретить разрешать и уже только потом запретить запрещать, а далее дропать все несанкционированные или испорченные попытки.

4.30, Michael Shigorin (ok), 12:05, 17/11/2015 [^] [^^] [^^^] [ответить]

–8 +/–

> а далее дропать все несанкционированные или испорченные попытки.

Типа этой? -- http://fritzmorgen.livejournal.com/833482.html

AOT: а ведь авторы малвари по лени или ещё чему одарили логи сервера автора curl весьма ценными данными -- что уже проломано; для ЦА зловреда (и если быть циником -- для авторов антивирей) возможность узнать, "засветилась ли моя сеть", в течение какого-то времени может стоить как минимум благодарности проекту.

5.34, Sigillum Diaboli (?), 13:59, 17/11/2015 [^] [^^] [^^^] [ответить]	+2 +/–
Ни дня без политоты. Что естественно, то не испорчено.

5.57, Онаним (?), 11:16, 20/11/2015 [^] [^^] [^^^] [ответить]	+/–
> Типа этой? -- http://fritzmorgen.livejournal.com/833482.html Меня гораздо больше интересует, на чьи деньги хоругвеносцы и им подобные энтео, позорят православие на Руси.

3.9, President (??), 03:13, 17/11/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Очень хорошо, мы на днях обсудим это предложение и внесем на следующее заседание госдумы.

4.10, President (??), 03:22, 17/11/2015 [^] [^^] [^^^] [ответить]	–1 +/–
А ещё я со^W Петросян

5.19, Аноним (-), 10:05, 17/11/2015 [^] [^^] [^^^] [ответить]	+1 +/–
President Петросян? Вы президент персонажей из кривого зеркала? Аккуратнее там с ними, а то сбегут же вместе с санитарами.

2.14, Аноним (-), 09:54, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
тогда и биты для бейсбола надо запретить, и клюшки для гольфа.

3.24, Аноним (-), 11:21, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
И кухонные ножи, и табуретки, и стеклянные бутылки. И руки всем поотрывать чтоб друг друга не передушили. Так победим.

3.36, fi (ok), 15:30, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
А еще феминистки считая всех муж. потенциальными насильниками, говорят - всеобщая кастрация поможет :)

2.16, Аноним (-), 09:58, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
Даешь интернет по талонам! А подозрительным личностям разрешать делать запросы в интернет, только после письменного разрешения на каждый запрос!

3.20, Аноним (-), 10:06, 17/11/2015 [^] [^^] [^^^] [ответить]	+3 +/–
Такое уже было, называлось "Библиотека".

4.44, . (?), 18:16, 17/11/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Не надо песен! Те библиотеки были реально кладезью _знаний_, а не складом порнухи и ненужными фрустрациями и литдыбром гнойной х**ты :-\ PS: А кстати вру, забылось уже ... порно было! История КПСС и т.д. :)

2.46, Аноним (-), 18:37, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
> Надо запретить curl, он используется для незаконной деятельности больше, чем для чего-то ещё. Тогда уж и компьютерные вирусы запретить, и вообще вредоносы.

1.12, Аноним (-), 09:34, 17/11/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
наверно надо везде где можно ставить проверялку картинкой

2.15, Аноним (-), 09:55, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
надо везде, где можно, ставить разумного админа.

3.45, . (?), 18:19, 17/11/2015 [^] [^^] [^^^] [ответить]	+2 +/–
> надо везде, где можно, ставить разумного админа. За чей счёт банкет?

1.13, Аноним (-), 09:41, 17/11/2015 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
>Вредоносное ПО использовало официальную сборку curl как один из компонентов для организации размещения трояна на скомпрометированной системе. Мда, обмелчали нонче вирусопейсатели. С таким подходом скоро начнут писать зловреднов на питоне, качая интерпритатор прямо с официального сайта.

2.17, Аноним (-), 09:59, 17/11/2015 [^] [^^] [^^^] [ответить]	–1 +/–
питон нет, lua да

2.18, Аноним (-), 10:01, 17/11/2015 [^] [^^] [^^^] [ответить]	–1 +/–
если бы биоинженеры работали так же, бактерии их вирусов не влезали бы людям в рот.

3.21, Аноним (-), 10:19, 17/11/2015 [^] [^^] [^^^] [ответить]

+5 +/–

> бактерии их вирусов

Что?

3.22, Аноним (-), 10:27, 17/11/2015 [^] [^^] [^^^] [ответить]	+3 +/–
> если бы биоинженеры работали так же, бактерии их вирусов не влезали бы людям в рот. "бактерии их вирусов"? o_O

3.37, Нимано (?), 15:34, 17/11/2015 [^] [^^] [^^^] [ответить]

+/–

> бактерии их вирусов

Это которые стремительные? )

И да, зачем нужен мутный и непонятный питон, если есть отличный язык для малвари: VB.NET (или даже C# – для элитных разработок)? Ведь только благодаря мощнейшему фреймворку теперь можно делать професианальных ботов, ктороых можно объединить в сети аж по 500 штук (или даже под 1000, если сервак сильно хороший!! А если при 500 ботах CC-сервак почти не реагирует, значит дело в фиговости этого сервака, а отнюдь не в протоколе "реал-тайм-бот-коннект-овер-хттп-мейд-бай-васян")!

Тут главное, не забыть в вижуал студии зависимости от не самой свежей версии .NET выставить. Иначе придется убеждать пользователя скачать новейшую версию перед запуском! (и да, это не совсем шутка).

ЗЫ:
Во времена вирусни на vb6 и (иногда) дельфях с борланд-плюсами оные нередко тянули тулзы от нирзофта – пароли из браузеров и чатов с файлциллами и т.д. выковыривать.

2.25, iPony (?), 11:22, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
У меня знакомый на пайтоне писал трояна воровщика паролей. py2exe все дела...

2.33, dq0s4y71 (??), 13:43, 17/11/2015 [^] [^^] [^^^] [ответить]	–2 +/–
Закономерно, потому что вирусописанием занимается, в основном, школота и неудачники, которые не смогли нормально освоить профессию и найти себе приличную работу.

3.52, Michael Shigorin (ok), 22:58, 17/11/2015 [^] [^^] [^^^] [ответить]

+/–

> вирусописанием занимается, в основном, школота и неудачники

К сожалению, уже более десятка лет разве что "в основном" -- притом исключения не в стиле автора dark avenger, а вполне себе "коммерчески успешные" и кормящиеся от криминального бузинеса...

PS: разумеется, морального инвалида с ником "клоун" опять покрасили в невидимое.

3.56, Эргил (ok), 09:04, 19/11/2015 [^] [^^] [^^^] [ответить]	+/–
Вы не считаете работу в Kaspersky Lab или Dr.Web приличной? Да вы зажрались.

1.23, IMHO (?), 11:14, 17/11/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
сам такое ПО пишу с curl и всем советую )) (с) програмист бота а так часто пишут для закачки сайта и спама его

1.26, Аноним (-), 11:35, 17/11/2015 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Я извиняюсь, а cURL с сайта чем скачивали? wget'ом наверное.

2.28, neon1ks (ok), 11:55, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
А чтобы собрать вредоносное ПО, надо еще компилятор скачивать.

3.54, antitroll (?), 22:25, 18/11/2015 [^] [^^] [^^^] [ответить]	+/–
И патчить, иначе не собирается.

2.31, Аноним (-), 13:34, 17/11/2015 [^] [^^] [^^^] [ответить]	+1 +/–
libcurl это не только http. Его могли качать для поддержки SCP, например.

2.43, Khariton (ok), 17:38, 17/11/2015 [^] [^^] [^^^] [ответить]	+/–
интернет эксплойером же...)))

игнорирование участников | лог модерирования

Добавить комментарий

Текст: