'palevo'에 해당되는 글 1건

  1. 2010.06.20 Mariposa Still Alive 2
0x04 reference&tools2010. 6. 20. 15:25

http://blog.fireeye.com/research/2010/06/mariposa-still-alive.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+FE_research+%28FireEye+Malware+Intelligence+Lab%29


Mariposa botnet을 구축해서 사용했던 세명을 올해 3월에 스페인 경찰에 의해 붙잡았었다고 합니다.
이 세명이 붙잡힌 후 Mariposa 봇넷이 죽었을거라 생각했는데 봇넷과 C&C간의 통신이 포착되었나 봅니다.
USB를 통해서 전파된다고 하는데요...



0000   00 03 ff 22 7f 48 90 e6 ba b8 8f 7a 08 00 45 00  ...".H.....z..E.

0010   00 22 00 00 40 00 35 11 97 fd ae 8a 3c 46 c0 a8  ."..@.5.....<F..

0020   02 55 d1 97 04 06 00 0e 10 b2 01 0a 70 e2 f9 c7  .U..........p...

0030   00 00 00 00 00 00 00 00 00 00 00 00              ............


 

0x01 0x0a 0x70 0xe2 0xf90x c7:

0x01 is the protocol opcode
0x0a 0x70 is the sequence number and the key to decrypt the message.
0xe2 0xf9 0xc7 is the encrypted message which decrypts to “11 75 31” or 11 u 1





관련글 몇개 링크 겁니다.

http://blog.ahnlab.com/asec/264?TSSESSIONblogahnlabcom=51e594ea4e6e7f9946388d1a7c32233d
http://www.ttcast.com/cast/go/55010





Posted by demantos