[HaBo]

Mega-D

Ok hallo ich weis nicht genau ob diese frage hier jetzt gegen die Boardregeln verstöst aber sollte eigentlich nicht hoffe ich zumindest.

Ich habe diese frage schon bei buha.info gestellt aber in dem Forum ist nicht mehr all zu viel los obwohl es ein sehr hohes und gutes niveau hat.

Kommen wir zu der frage,sollten denkfehler bei der frage sein bitte ich um eine detalierte aufklärung da ich es für wichtig empfinde.

Ich sage schon mal danke an alle die bei der lösung des problems helfen können und genau so interesiert sind wie ich ob es so ist oder nicht.


Hallo leute jeder kennt den bekannten und auch geführchteten Storm Worm.
Und manche auch den ZunkerBot,so durch zufall habe ich heute morgen bemerkt das ZunkerBot und Stormi ein und die selbe Signatur haben und immer wen ich bei google nach der Signatur von Zunkerbot gesucht habe landete ich in jeder Virendatenbank bei Storm Worm.

Der ZunkerBot ist Public in jedem Forum,Zunker versendet sich per email wie in den News von Storm Worm.


ZunkerBot läuft über ein Webinterface und Stormi ist ein P2P Bot,aber was mir aufgefallen ist heute morgen noch in der News von Golem http://www.golem.de/0812/64333.html

So wen ich mir jetzt ein Diagramm von einem P2P Botnet anschaue dann stimmt das aber nicht übereinn mit der News.


Hier ist keine verbindung zu einem C&C zu sehn.
http://www.usenix.org/events/hotbots...ml/figure2.png

Was mir noch aufgefallen ist,in den News von heise.de wird gesagt das Stormi eine BulletProof Domain (Kick Sicher) und sich zu einem Fast-Flux (DNS Server mit Round Robin DNS) verbindet.

Nun warum sollte ein P2P Bot sich zu einem Fast-Flux verbinden was dazu dient eine reihe von proxys vor einen C&C zu schalten wen ein P2P Bot sich zu keinen C&C verbindet ?

Wen man jetzt einen Zunkerbot.exe bei VT upped bekommt man folgende Signaturen zu sehn.

Email-Worm.Win32.Zhelatin
Trojan:W32/Mespam
W32/Nuwar
W32/Tibs

Das sind alles Signaturen von Storm Worm und wen ich in die Datenbank von Viruslist schaue unter der Signatur Email-Worm.Win32.Zhelatin.o http://www.viruslist.com/en/viruses/...virusid=150767 dann lande ich bei Stormi und oben sind die Signaturen Other versions: .a, .ab, .au, .ch, .db, .t, .u, .v die im Zunkerbot zu finden sind besonders die .ch ist häufig zu finden.

Also um genaueres herausfinden zu können müste jemand der sich mit Reverse Engineering auskennt eine zunkerbot.exe anschauen ob dort weitere übereinstimmungen sind wie das Kademlia Protokoll.

Wen all das stimtm dann ist der heiß begehrte Storm Worm die ganze zeit Public vor unserer Nase und keiner hat es bemerkt.

Das alles sind nur vermutungen auf Nachforschungen die ich gemacht habe.

Chromatin

Ein wahrlich interessantes Thema.
Aber brvor Du weiter ueber stormbot schreibst, lies dir wenigstens
erstmal das Dokument durch und stuetze dich lieber erstmal darauf als auf diese daemlichen
internet-short-news mit einem Infogehalt von 0.01%.

http://pi1.informatik.uni-mannheim.d...-2008-dahl.pdf

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/

zerohaxxor

Hier ist ein satz zu finden aber der ist irgentwie zweideutig finde ich.