«Последние пару дней я потратил на изучение ботнета Sality, который состоит как минимум из миллиона пиров, — пишет в рассылке Seclists анонимный хакер. — В 2010 году компания Symantec поставила семейство Sality на первое место по количеству заражений. Ботнет используется для рассылки спама, кражи паролей, взлома SIP-аккаунтов и различных других грязных дел.
Я заметил, что можно легко получить контроль над третьей версией этого ботнета, и, что более важно, вывести его из строя. К сожалению, чтобы это сделать, нужно нарушить закон. По этой причине я прошу всех ни в коем случае не выполнять шаги, описанные ниже».
Все необходимые файлы находятся в архиве (пароль: sality):
http://www7.zippyshare.com/d/65744138/9360/byesality.zip
Содержимое архива
Во-первых, вам не следует использовать SQL-инъекцию, чтобы осуществить эксплойт страницы
http://www.capesolution.com/login/login.aspx
Далее, вам не следует загружать зашифрованную версию утилиты AVG Sality Remooval Tool как файл /images/logo/logof.jpeg. В конце концов, вам ни в коем случае нельзя смеяться, когда вы видите, как ботнет разваливается у вас на глазах.
Автор инструкции пишет, что владельцы ботнета Sality заменят рабочий URL. И хотя это никому не интересно, но он всё-таки сообщает URL's других командных серверов с указанием файлов, которые нельзя заменять.
http://yaylaozu.com/images/logo.gif
http://destekegitim.com/images/logo.gif
http://dav14gurgaon.org/images/logo.gif
http://dersrehberi.com/images/logo.gif
http://cisse.com.tr/images/logo.gif
http://cbe.com.vn/images/logo.gif
Ну и конечно же, незачем использовать Python-скрипт из вышеупомянутого архива для генерации обновлённого списка адресов.
