Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Sinowal/Torpig Domain-Flux

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 10.08.2009, 18:16   #1
Zerl0line
 
Sinowal/Torpig Domain-Flux - Standard

Sinowal/Torpig Domain-Flux



Hallo ich bin neu hier,naja nicht wirklich ich kenne das Forum schon Jahre lang,hatte nur noch nie von dem Forum gebrauch gemacht.

Ich habe großes Interesse an dem bereich Internet-Security und habe vor ein paar tagen einen Interessanten bericht zu dem Torpig Botnet gelesen.

Nun der Bot ist in der large eigenständig Domains zu generieren mit dem Domain-Generation-Algorithmus (DGA).

Dieses ist im Bot integriert,ein solcher DGA könnte z.b so aussehn.
http://www.cs.ucsb.edu/~seclab/proje...g/wepawet1.png

Das ganze funst nun so,der Bot generiert eine Domain und der Botnet betreiber hat den gleichen DGA noch mal in seim ACP oder selber ncoh mal extra als GUI gecoded wie auch immer.Und durch das abrufen des DGA weis der Betreiber imemr welche Domain der bot gerade generiert und er dann nur noch Registieren muss.

So nun wäre es aber dumm einfach eine eine Domain auf einen C&C zu legen,da kommt ja gleich die ICANN und nimmt es Down.

Also läuft es ähnlich ab wie bei dem Fast-Flux,beim fast-Flux wird das Round-Robin DNS verfahren verwendet.Hier gibt es einen DNS Server meist mit Bind9 betrieben und dieser verwendet nun das Round-Robin verfahren zur last verteilung in dem ihm bei den A Records Proxys mit einer geringen TTL (Time to Live) zugewiesen werden.

Diese Proxys stellen sich dann wie eine Mauer vor dem C&C.

So nun der Teil auf dem ich kommen möchte,beim Domain-Flux ist Torpig anscheint in der large die IP des Servers zu ändern,aber wie stellt er das an ?

Alles was ich dazu gefunden habe ist ein kleienr texst von Viruslist.com
http://www.viruslist.com/de/analysis?pubid=200883634#6

Zitat:
Diese Methode ähnelt der Technologie Fast-Flux, die Würmer der Familie Zhelatin (Sturmwurm) einsetzen. Während mit Fast-Flux ausgestattete Schädlinge ständig die IP-Adresse der schädlichen Domain wechseln können, gelingt es dem Bootkit, sowohl die Domains als auch die IP-Adressen zu ändern.

Das Steuerungszentrum des Botnetzes enthält eine Datenbank mit allen registrierten Domains, die zur Verschiebung des CC benutzt werden können.
Beispiele registrierter Domains
Code:
ATTFilter
ccuuuag.biz 	67.228.229.122	registered : 2008-08-07
ewwxbhdh.com 	74.50.107.78	registered : 2008-08-07
paiuuag.com	208.73.210.32 	registered : 2008-08-06
paiuuag.net 	208.73.210.32	registered : 2008-08-06
         
Ich habe mir gedacht das auf dem C&C wider ein DNS Server läuft mit (Bind9)
Aber dieses mal werden nicht die A Records für die Domain verwendet sondern die NS Records für den Server,dazu habe ich aber keinerlei Infos gefunden.

Weder in der Torpig Analyse http://www.buha.info/board/redirecto...g%2Ftorpig.pdf noch bei der Conficker Analyse.

http://mtc.sri.com/Conficker/
http://mtc.sri.com/Conficker/addendumC/

Wen jemand infos darüber hat,wäre wirklich gut.

Geändert von Zerl0line (10.08.2009 um 18:25 Uhr)

Antwort

Themen zu Sinowal/Torpig Domain-Flux
analyse, bereich, bericht, bootkit, bot, botnet, conficker, datenbank, dns, einfach, forum, großes, infos, interesse, interne, ip-adresse, jahre, live, neu, records, registrierte, schädlinge, server, wechsel, wechseln, wirklich, würmer, zhelatin, ändern



Ähnliche Themen: Sinowal/Torpig Domain-Flux


  1. Botnetze: Fastflux (Single Flux, Double Flux)
    Diskussionsforum - 05.12.2014 (1)
  2. 1&1 warnt vor Torpig
    Log-Analyse und Auswertung - 18.12.2013 (13)
  3. Domain sperren
    Alles rund um Windows - 13.11.2013 (11)
  4. Metasploit-Domain gekapert
    Nachrichten - 11.10.2013 (0)
  5. Domain-Registrar Name.com gehackt
    Nachrichten - 10.05.2013 (0)
  6. T-Online meldet Infektion mit Torpig/Sinowal und Mebroot - 3 PCs, welcher hats?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2012 (34)
  7. Domain wird umgeleitet
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (9)
  8. Mebroot/Torpig/Sinowal, Warnung der Uni
    Log-Analyse und Auswertung - 06.06.2012 (22)
  9. Wie entferne ich BDS/Sinowal.knfal oder generell Sinowal?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2011 (17)
  10. RKIT/MBR.Sinowal.J ...Boo/Sinowal.C ...W32/Stanit
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (15)
  11. Torpig u. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 15.09.2007 (25)
  12. Zombie in der Domain?
    Überwachung, Datenschutz und Spam - 16.05.2007 (2)
  13. Domain hijack?!
    Log-Analyse und Auswertung - 30.09.2005 (4)
  14. Kann TrojanSpy.Win32.Flux.A alias Troj/Winflux-B nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 12.11.2004 (13)
  15. Biete Domain malware.de
    Alles rund um Windows - 24.04.2004 (3)

Zum Thema Sinowal/Torpig Domain-Flux - Hallo ich bin neu hier,naja nicht wirklich ich kenne das Forum schon Jahre lang,hatte nur noch nie von dem Forum gebrauch gemacht. Ich habe großes Interesse an dem bereich Internet-Security - Sinowal/Torpig Domain-Flux...
Archiv
Du betrachtest: Sinowal/Torpig Domain-Flux auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.