| |
| |||||||
Diskussionsforum: Sinowal/Torpig Domain-FluxWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
 |
10.08.2009, 18:16
| #1 | |
| |  Sinowal/Torpig Domain-Flux Hallo ich bin neu hier,naja nicht wirklich ich kenne das Forum schon Jahre lang,hatte nur noch nie von dem Forum gebrauch gemacht. Ich habe großes Interesse an dem bereich Internet-Security und habe vor ein paar tagen einen Interessanten bericht zu dem Torpig Botnet gelesen. Nun der Bot ist in der large eigenständig Domains zu generieren mit dem Domain-Generation-Algorithmus (DGA). Dieses ist im Bot integriert,ein solcher DGA könnte z.b so aussehn. http://www.cs.ucsb.edu/~seclab/proje...g/wepawet1.png Das ganze funst nun so,der Bot generiert eine Domain und der Botnet betreiber hat den gleichen DGA noch mal in seim ACP oder selber ncoh mal extra als GUI gecoded wie auch immer.Und durch das abrufen des DGA weis der Betreiber imemr welche Domain der bot gerade generiert und er dann nur noch Registieren muss. So nun wäre es aber dumm einfach eine eine Domain auf einen C&C zu legen,da kommt ja gleich die ICANN und nimmt es Down. Also läuft es ähnlich ab wie bei dem Fast-Flux,beim fast-Flux wird das Round-Robin DNS verfahren verwendet.Hier gibt es einen DNS Server meist mit Bind9 betrieben und dieser verwendet nun das Round-Robin verfahren zur last verteilung in dem ihm bei den A Records Proxys mit einer geringen TTL (Time to Live) zugewiesen werden. Diese Proxys stellen sich dann wie eine Mauer vor dem C&C. So nun der Teil auf dem ich kommen möchte,beim Domain-Flux ist Torpig anscheint in der large die IP des Servers zu ändern,aber wie stellt er das an ? Alles was ich dazu gefunden habe ist ein kleienr texst von Viruslist.com http://www.viruslist.com/de/analysis?pubid=200883634#6 Zitat:
Code:
ATTFilter ccuuuag.biz 67.228.229.122 registered : 2008-08-07
ewwxbhdh.com 74.50.107.78 registered : 2008-08-07
paiuuag.com 208.73.210.32 registered : 2008-08-06
paiuuag.net 208.73.210.32 registered : 2008-08-06
Aber dieses mal werden nicht die A Records für die Domain verwendet sondern die NS Records für den Server,dazu habe ich aber keinerlei Infos gefunden. Weder in der Torpig Analyse http://www.buha.info/board/redirecto...g%2Ftorpig.pdf noch bei der Conficker Analyse. http://mtc.sri.com/Conficker/ http://mtc.sri.com/Conficker/addendumC/ Wen jemand infos darüber hat,wäre wirklich gut. Geändert von Zerl0line (10.08.2009 um 18:25 Uhr) |
|
| Themen zu Sinowal/Torpig Domain-Flux |
| analyse, bereich, bericht, bootkit, bot, botnet, conficker, datenbank, dns, einfach, forum, großes, infos, interesse, interne, ip-adresse, jahre, live, neu, records, registrierte, schädlinge, server, wechsel, wechseln, wirklich, würmer, zhelatin, ändern |
Sinowal/Torpig Domain-Flux
Linear-Darstellung
