[seppjo]

Schon mal jemand was von denen gehört?
http://de.wikipedia.org/wiki/Russian_Business_Network
http://en.wikipedia.org/wiki/Russian_Business_Network
Die scheinen sehr bekannt zu sein und haben wohl schon viel Schaden angerichtet.

Wers lesen kann ist echt erstaunlich.
http://www.bizeul.org/files/RBN_study.pdf

[singh]

Hallo Zusammen,

Gibt es diesen Provider noch oder wurde es von der russischen regierung verboten???

Mfg
Singh

[seppjo]

@singh,
so wie ich es verstehe ist der nicht wirklich greifbar, da es keinen festen Standpunkt/Standort gibt. Die haben da ein verschachteltes Netzwerk aufgebaut. Ich bin auf die nur aufmerksam geworden da ich in den letzten Wochen gehört hab, es soll vor deren IP's Zugriffe auf mir bekannte Server gegeben haben. Die haben jetzt deren IP's gesperrt.
Wird auch Allgemein als Tipp gegeben:
http://rbnexploit.blogspot.com/2007/...addresses.html

[seppjo]

Die haben sogar Fake antispy-, viruskill-/updateserver
http://rbnexploit.blogspot.com/2007/...aking-its.html

so entwickeln die sich gerade
http://bp1.blogger.com/_SvDjzn4xfyE/...trend_0108.jpg

[singh]

Hallo Zusammen,

hab mal kurz diese Studie angefangen zu lesen und ich muss sagen das ich echt überrascht bin, wo RNB seine finger im spiel hat.
Was mir sehr überrascht hat war die "case study on Torpig/Sinowal". In dieser Konfigurationsliste waren sehr viele URLs von Banken drinne.

EDIT:
Das ist ja sehr interresant:

Zitat:

It’s unpleasant to conclude that even 3 month after the reception of the file, this trojan has not been identified by most antivirus editors. Few (only 3) identify it properly as Torpig/Sinowal. Most major antivirus editors (Symantec, McAfee, Kaspersky or ClamAV) do not identify the threat. Those main editors may represent at least 50% marketshare. Most people think they are protected against malware because they have their miraculous antivirus but on this very issue, we can see people are still at risk and may encounter an identity theft at any time.

Mfg
Singh

[seppjo]

Ja die haben da mehrere Tricks drin.
1. Tastatureingaben werden per JavaScript umgelenkt. (Das JavaScript wird meisstens von leeren Seiten aufgerufen. Läuft danach im Hintergrund)
2. Der MBR Virus ist zwsichenzeitlich polymorph.
(Selbstmodifizierend. Ist das Teil wo so schlecht erkannt wird.)
3. Trojaner per Mails...
4. Exploits aller Art

[singh]

Hallo Zusammen,

Hab noch was interessantes in der Studie gefunden:

Sogar die Russische Telekom Eltel ist ein aktiver partner von RBN. Es wird immer heißer..

Zitat:

Eltel2 is a very interesting network because it is managed by Eltel which is supposed to be a legitimate Russian telecom company but Eltel2 is also an active partner with RBN through as-joy. Actually, the description of Eltel2 is “JOY Network” Eltel2 has already broadcasted IP address space 85.249.20.0/22. What is interesting is that this address space belongs to LugLink.

Warum tut die russische Regierung nichts dagegen??

Oder steckt Putin auch mit denen unter einer decke

Mfg
Singh

[Bullayer]

Warum sollte die russische Regierung dagegen vorgehen? Die haben doch keinen Vorteil dadurch.

[emmert]

Zitat:

Zitat von Bullayer Warum sollte die russische Regierung dagegen vorgehen? Die haben doch keinen Vorteil dadurch.

Weil es sich so gehört?

"Welcome Back"

[seppjo]

@Bullayer,
hast du die Studie gelesen. Die lassen wirklich nichts aus.
spoofen, redirecten, JS, J, php, MBR, Assember, morphen... alles mit drin.
Ich denke die haben da bisher noch nicht viel rausbekommen. Ansonsten wären da schon welche als abschreckendes Beispiel an den allerhöchsten Baum gehängt worden. Welche Organisationen/Länder dahinter stecken ist ja auch eher unklar.
RBN ist einfach mal ein Name den man gegeben hat.
http://en.wikipedia.org/wiki/Storm_botnet