А ведь патч был... На форуме Корбины читаешь и офигиваешь. Народ не ставит фиксы и ноет. Когда узнали, что фикс существует, так спросили, а какой именно нужно. Ппц...

Подтверждаю. Теперь все плохо, такое ощущение, что китайцы — это первый блин комом. Но так как люди не пропатчились (что бля логично), то на сегодняшний момент мы имеем то, что имеем. И оно имеет людей. Онально :(

Значит люди специально не патчатся, чтобы их потом имели онально... Вывод: все пидорасы) Да. Трудно в наше время сохранить сво...
Ладно. Не будем о грустном.
Что делать с кидо? Как его грохнуть то? Как поиметь его в ответ? Админку его не поиметь (доказано ф-секуром на бутките).
Детектом не обойтись (доказано тут http://www.dshield.org/port.html?port

http://www.dshield.org/port.html?port

А что им реально сделаешь? За жопу поймать. Дык попробуй поймай, попробуй отдай "самому справедливому суду в мире" (неважно какой страны). Автор ГПКода где?

//Не скажу... Здаваться нельзя. Фины хотяб блеклисты выкладывают (правда и не выкупают домены в диком колличестве как при бутките :-) А всем остальным — Шах и мат?

Сережа, ты зачем фигню пишешь ? :) "На секурблоге об этом не писалось, но в ноябре во всех вирлабах (sww подтверди 8) была паника по поводу внеочередного критикал апдейта от микрософта."
смотри статью номер 364 тут. это было в октябре.

или ты про что-то другое ?

Э... исправил. Теперь "На секурблоге об этом писалось" 8)
ПС. Хорош нарушать мою прайванси!) Может это не я) А какой то другой Сергей Юрьевич)

Наверняка! :)

ооо! прямая трансляция из... (на букву г.) ? :)

// http://vglib.ru/sourse/fr590p/514.jpg ?)

всё мимо )

знаю. но если дать правильный ответ на этот вопрос, сразу будет понятно что курят в ... 8)

я хотел сказать табак в мире...

могу ещё добавить, что зверек с огромными проблемами эмулируется на вирутальных машинах
использует технологию простукивания портов. сам после себя ставит левый патч от МС, чтобы другая дрянь не попала в пк после него.
+ среди засвеченных айпишников встплывают старые RBN-овские. — вот откуда растут руки.

"сам после себя ставит левый патч от МС" — бред
"среди засвеченных айпишников" — айпишников чего ?

С РБН (которого как все мы знаем не существует) я вижу связь только через ТК biz — loadadv.exe -IP — rbnexploit. То есть рог антивирус загружаемый кидо лился еще с хостов указанных в rbn study pdf + само имя файла loadadv.exe вам не знакомо?) "Rustock и все-все-все" ?) Но это все конечно догадки... Есть чтонить посущественней?

hxxp://4.affinityney.Co.CC/learning-how-to-hack-yahoo-mails/
hxxp://bixoxuweva471.hostbot.com/yahoo-mail-sign-in/
hxxp://cecuxifuma.100megsfree8.com/yahoo-mail-sign-in/
hxxp://cohoqukyci71.rack111.com/yahoo-mail-sign-in/
hxxp://cufaliqusi.freehostplace.com/yahoo-mail-sign-in/
hxxp://cusejusytuse2.9ix.net/att-yahoo-norton-online-security/
hxxp://dehogagywu.101freehost.com/att-yahoo-norton-online-security/
hxxp://dejamymixy62.freehostingz.com/yahoo-mail-uk/
hxxp://dorozapefo.freewhost.com/yahoo-mail-sign-in/
hxxp://dygidujetepu76.100megsfree8.com/yahoo-mail-sign-in/
hxxp://gurejoliwi.9ix.net/yahoo-mail-sign-in/
hxxp://guzoryveto90.freehostingz.com/yahoo-mail-sign-in/
hxxp://hywydehynocu8.hostrator.com/att-yahoo-norton-online-security/
hxxp://jakutohuriji08.100megsfree8.com/yahoo-mail-sign-in/
hxxp://jaqes.hostbot.com/sbc-yahoo-mail/
hxxp://jehiqoqiqe.xhost.ro/att-yahoo-norton-online-security/
hxxp://juhevawugywu10.xhost.ro/yahoo-mail-uk/
hxxp://jynujuxuci.101freehost.com/att-yahoo-norton-online-security/
hxxp://kipuwebahuke6.rack111.com/yahoo-mail-sign-in/
hxxp://kuxonecuzi.977mb.com/yahoo-mail-sign-in/
hxxp://lema.xhost.ro/yahoo-mail-uk/
hxxp://mejuvewivi92.freehostingz.com/yahoo-mail-uk/
hxxp://miloresuzu75.rack111.com/yahoo-mail-sign-in/
hxxp://mylofud4546.xhost.ro/yahoo-mail-sign-in/
hxxp://nasoxunoryvo2.freewhost.com/yahoo-mail-sign-in/
hxxp://miloresuzu75.rack111.com/yahoo-mail-sign-in/
hxxp://mylofud4546.xhost.ro/yahoo-mail-sign-in/
hxxp://nasoxunoryvo2.freewhost.com/yahoo-mail-sign-in/
hxxp://nasoxunoryvo2.hostbot.com/yahoo-mail-sign-in/
hxxp://nosoqisivepy88.xhost.ro/yahoo-mail-uk/
hxxp://nutycebujy.freewhost.com/yahoo-mail-sign-in/
hxxp://pacixanojuwy6.100megsfree8.com/yahoo-mail-sign-in/
hxxp://pacixanojuwy6.rack111.com/yahoo-mail-sign-in/
hxxp://pijonozin444.xhost.ro/yahoo-mail-sign-in/
hxxp://pobopujaky14.xhost.ro/yahoo-mail-sign-in/
hxxp://qoqef.fizwig.com/yahoo-mail-sign-in/
hxxp://reweducixe12.rack111.com/att-yahoo-norton-online-security/
hxxp://sekodexyka12.xhost.ro/att-yahoo-norton-online-security/
hxxp://sytonemogovo0.100megsfree8.com/att-yahoo-norton-online-security/
hxxp://sytonemogovo0.rack111.com/yahoo-mail-sign-in/
hxxp://watyfonos708.xhost.ro/yahoo-mail-sign-in/
hxxp://wilisal0016.9ix.net/yahoo-mail-sign-in/
hxxp://wilunuq677.9ix.net/yahoo-mail-sign-in/
hxxp://wisub.hostbot.com/yahoo-mail-login/
hxxp://www.austriahandyboerse.at/images/downloads/news/news-yahoo-
mail.html
hxxp://www.gapekoworld.com/forward-yahoo-mail-to-outlook.php
hxxp://wycezafygaki23.100megsfree8.com/yahoo-mail-sign-in/
hxxp://wycezafygaki23.rack111.com/att-yahoo-norton-online-security/
hxxp://wylykerovipo5.freehostingz.com/yahoo-mail-sign-in/
hxxp://xeratumogi.9ix.net/att-yahoo-norton-online-security/

вот лишь короткий список ссылок через которые сливался дропер с кидо. так вот этот же дропер вместе с кидо еще сливал серый патч макросовта, и после того как троян обосновывался в системе он ее же и патчил на уязвимость MS067

Пост не обрезался?! Завидую.

Похоже что дроппер сливался только через определённые рефереры. Так? А есть примеры?

md5 загружаемого файла?

еще раз говорю — никакого "серого патча макрософта" Кидо не сливал, а зараженные машины он патчил собой.
давайте вы для начала _внимательно_ прочитаете вот это:
http://mtc.sri.com/Conficker/
а потом уже будем продолжать нашу _пока_малосодержательную_дисскуссию...

"hxxp://xeratumogi.9ix.net/att-yahoo-norton-online-security/
вот лишь короткий список ссылок через которые сливался дропер с кидо"

прекраснае ссылки — но где же обещанные айпишники РБН ? или теперь будем считать за РБН все фри-хостинги в мире?