'mariposa'에 해당되는 글 1건

  1. 2010.06.20 Mariposa Still Alive (2)
0x04 reference&tools2010.06.20 15:25

http://blog.fireeye.com/research/2010/06/mariposa-still-alive.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+FE_research+%28FireEye+Malware+Intelligence+Lab%29


Mariposa botnet을 구축해서 사용했던 세명을 올해 3월에 스페인 경찰에 의해 붙잡았었다고 합니다.
이 세명이 붙잡힌 후 Mariposa 봇넷이 죽었을거라 생각했는데 봇넷과 C&C간의 통신이 포착되었나 봅니다.
USB를 통해서 전파된다고 하는데요...



0000   00 03 ff 22 7f 48 90 e6 ba b8 8f 7a 08 00 45 00  ...".H.....z..E.

0010   00 22 00 00 40 00 35 11 97 fd ae 8a 3c 46 c0 a8  ."..@.5.....<F..

0020   02 55 d1 97 04 06 00 0e 10 b2 01 0a 70 e2 f9 c7  .U..........p...

0030   00 00 00 00 00 00 00 00 00 00 00 00              ............


 

0x01 0x0a 0x70 0xe2 0xf90x c7:

0x01 is the protocol opcode
0x0a 0x70 is the sequence number and the key to decrypt the message.
0xe2 0xf9 0xc7 is the encrypted message which decrypts to “11 75 31” or 11 u 1





관련글 몇개 링크 겁니다.

http://blog.ahnlab.com/asec/264?TSSESSIONblogahnlabcom=51e594ea4e6e7f9946388d1a7c32233d
http://www.ttcast.com/cast/go/55010





저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요

  1. 해외 정보를 보면 당시 체포된 사람들은 Bot 제작자들이 아니고 구매를 해서 사용한 사람들이라고 하더군요.

    그래서 계속 유포가 이루어질 것이라고 하던데.. 역시나~

    그리고 Kaspersky에서 저번에 밝힌 글을 보니 최초의 mariposa를 만들어낸 곳은 러시아로 추정된다고 합니다.

    2010.06.20 16:17 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 그렇군요..
      역시 러시아놈들 대단...;;;
      러시아 해커 친구 하나 있음 좋겠네요..ㅎㅎ

      2010.06.20 17:57 신고 [ ADDR : EDIT/ DEL ]