Дэниел Cтенберг (Daniel Stenberg), автор cURL (http://curl.haxx.se/), простой  и удобной утилиты для выборки данных с использованием различных сетевых протоколов, опубликовал (http://daniel.haxx.se/blog/2015/11/16/the-most-popular-curl-.../) интересные выводы, полученные в результате анализа статистики загрузки с сайта проекта.

В октябре трафик сайта cURL впервые преодолел рубеж в один терабайт в месяц. Изучая статистику, Дэниел заметил, что начиная с июля особой популярностью на странице загрузки стал пользоваться архив curl-7.40.0-devel-mingw32.zip. В октябре этот файл был загружен более 300 тысяч раз, а трафик от загрузки данного архива составил 70% от общего трафика. Загрузка осуществлялась с разных адресов и от приложений с разными идентификаторами User-agent, напоминая активность сошедшего с ума бота.

Разгадка нашлась в докладе (http://www.slideshare.net/AVGShare/weather-forecast-for-toda...) сотрудников AVG, описывающих работу одной из вредоносных программ. Вредоносное ПО использовало официальную сборку curl как один из компонентов для организации размещения трояна на скомпрометированной системе. Дэниел переименовал архив, чтобы блокировать какую-то часть атак, но судя по докладу, новые версии вредоносного ПО уже перешли на встраивание функций загрузки и использование библиотеки libcurl.

URL: http://daniel.haxx.se/blog/2015/11/16/the-most-popular-curl-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43335

• Лидером загрузок Curl стало вредоносное ПО,chinarulezzz, 00:53 , 17-Ноя-15
• Лидером загрузок Curl стало вредоносное ПО,Аноним, 01:12 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 01:40 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,cmp, 01:40 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,dq0s4y71, 13:35 , 17-Ноя-15
      • Лидером загрузок Curl стало вредоносное ПО,hhh, 17:01 , 17-Ноя-15
        • Лидером загрузок Curl стало вредоносное ПО,Аноним, 18:38 , 17-Ноя-15
          • Лидером загрузок Curl стало вредоносное ПО,DeadLoco, 12:04 , 22-Ноя-15
        • Лидером загрузок Curl стало вредоносное ПО,Аноним, 19:25 , 17-Ноя-15
          • Лидером загрузок Curl стало вредоносное ПО,i_stas, 00:34 , 18-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 01:42 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,ANONYM, 02:14 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,Аноним, 02:17 , 17-Ноя-15
      • Лидером загрузок Curl стало вредоносное ПО,Michael Shigorin, 12:05 , 17-Ноя-15
        • Лидером загрузок Curl стало вредоносное ПО,Sigillum Diaboli, 13:59 , 17-Ноя-15
        • Лидером загрузок Curl стало вредоносное ПО,Онаним, 11:16 , 20-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,President, 03:13 , 17-Ноя-15
      • Лидером загрузок Curl стало вредоносное ПО,President, 03:22 , 17-Ноя-15
        • Лидером загрузок Curl стало вредоносное ПО,Аноним, 10:05 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 09:54 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,Аноним, 11:21 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,fi, 15:30 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 09:58 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,Аноним, 10:06 , 17-Ноя-15
      • Лидером загрузок Curl стало вредоносное ПО,., 18:16 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 18:37 , 17-Ноя-15
• Лидером загрузок Curl стало вредоносное ПО,Аноним, 09:34 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 09:55 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,., 18:19 , 17-Ноя-15
• Лидером загрузок Curl стало вредоносное ПО,Аноним, 09:41 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 09:59 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 10:01 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,Аноним, 10:19 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,Аноним, 10:27 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,Нимано, 15:34 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,iPony, 11:22 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,dq0s4y71, 13:43 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,Michael Shigorin, 22:58 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,Эргил, 09:04 , 19-Ноя-15
• Лидером загрузок Curl стало вредоносное ПО,IMHO, 11:14 , 17-Ноя-15
• Лидером загрузок Curl стало вредоносное ПО,Аноним, 11:35 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,neon1ks, 11:55 , 17-Ноя-15
    • Лидером загрузок Curl стало вредоносное ПО,antitroll, 22:25 , 18-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Аноним, 13:34 , 17-Ноя-15
  • Лидером загрузок Curl стало вредоносное ПО,Khariton, 17:38 , 17-Ноя-15

> активность сошедшего с ума бота.

феерично.

Надо запретить curl, он используется для незаконной деятельности больше, чем для чего-то ещё.

Ой..., смотри, накаркаеш.

Зачем такие полумеры, надо запретить закачку файлов, а еще лучше запретить все, кроме твиттера и сайта госуслуг))

Твиттер тоже запретить.

Распилить бюджеты на создание православного Чикчирикальника сначала.

> Распилить бюджеты на создание православного Чикчирикальника сначала.

Не сначала, а потом. Чтобы народ изголодался по 140 символам и скушал, урча маянезиком.

Трех символов должно хватить.

> Чикчирикальника

Кукарекальника

каждому - своё

Нужно запретить запрещать.

Так запрещали уже. Но запрещаторы кладут на запреты.

Перед этим надо запретить  разрешать и уже только потом запретить  запрещать, а далее дропать все несанкционированные или испорченные попытки.

> а далее дропать все несанкционированные или испорченные попытки.

Типа этой? -- http://fritzmorgen.livejournal.com/833482.html

AOT: а ведь авторы малвари по лени или ещё чему одарили логи сервера автора curl весьма ценными данными -- что уже проломано; для ЦА зловреда (и если быть циником -- для авторов антивирей) возможность узнать, "засветилась ли моя сеть", в течение какого-то времени может стоить как минимум благодарности проекту.

Ни дня без политоты.
Что естественно, то не испорчено.

> Типа этой? -- http://fritzmorgen.livejournal.com/833482.html

Меня гораздо больше интересует, на чьи деньги хоругвеносцы и им подобные энтео, позорят православие на Руси.

Очень хорошо, мы на днях обсудим это предложение и внесем на следующее заседание госдумы.

А ещё я со^W Петросян

President Петросян? Вы президент персонажей из кривого зеркала? Аккуратнее там с ними, а то сбегут же вместе с санитарами.

тогда и биты для бейсбола надо запретить, и клюшки для гольфа.

И кухонные ножи, и табуретки, и стеклянные бутылки. И руки всем поотрывать чтоб друг друга не передушили. Так победим.

А еще феминистки считая всех муж. потенциальными  насильниками, говорят - всеобщая кастрация поможет :)

Даешь интернет по талонам! А подозрительным личностям разрешать делать запросы в интернет, только после письменного разрешения на каждый запрос!

Такое уже было, называлось "Библиотека".

Не надо песен!
Те библиотеки были реально кладезью _знаний_, а не складом порнухи и ненужными фрустрациями и литдыбром гнойной х**ты :-\

PS: А кстати вру, забылось уже ... порно было! История КПСС и т.д. :)

>  Надо запретить curl, он используется для незаконной деятельности больше, чем для чего-то ещё.

Тогда уж и компьютерные вирусы запретить, и вообще вредоносы.

наверно надо везде где можно ставить проверялку картинкой

надо везде, где можно, ставить разумного админа.

> надо везде, где можно, ставить разумного админа.

За чей счёт банкет?

>Вредоносное ПО использовало официальную сборку curl как один из компонентов для организации размещения трояна на скомпрометированной системе.

Мда, обмелчали нонче вирусопейсатели. С таким подходом скоро начнут писать зловреднов на питоне, качая интерпритатор прямо с официального сайта.

питон нет, lua да

если бы биоинженеры работали так же, бактерии их вирусов не влезали бы людям в рот.

> бактерии их вирусов

Что?

> если бы биоинженеры работали так же, бактерии их вирусов не влезали бы людям в рот.

"бактерии их вирусов"? o_O

> бактерии их вирусов

Это которые стремительные? )

И да, зачем нужен мутный и непонятный питон, если есть отличный язык для малвари: VB.NET (или даже C# – для элитных разработок)? Ведь только благодаря мощнейшему фреймворку теперь можно делать професианальных ботов, ктороых можно объединить в сети аж по 500 штук (или даже под 1000, если сервак сильно хороший!! А если при 500 ботах CC-сервак почти не реагирует, значит дело в фиговости этого сервака, а отнюдь не в протоколе "реал-тайм-бот-коннект-овер-хттп-мейд-бай-васян")!

Тут главное, не забыть в вижуал студии зависимости от не самой свежей версии .NET выставить. Иначе придется убеждать пользователя скачать новейшую версию перед запуском! (и да, это не совсем шутка).

ЗЫ:
Во времена вирусни на vb6 и (иногда) дельфях с борланд-плюсами оные нередко тянули тулзы от нирзофта – пароли из браузеров и чатов с файлциллами и т.д.  выковыривать.

У меня знакомый на пайтоне писал трояна воровщика паролей. py2exe все дела...

Закономерно, потому что вирусописанием занимается, в основном, школота и неудачники, которые не смогли нормально освоить профессию и найти себе приличную работу.

> вирусописанием занимается, в основном, школота и неудачники

К сожалению, уже более десятка лет разве что "в основном" -- притом исключения не в стиле автора dark avenger, а вполне себе "коммерчески успешные" и кормящиеся от криминального бузинеса...

PS: разумеется, морального инвалида с ником "клоун" опять покрасили в невидимое.

Вы не считаете работу в Kaspersky Lab или Dr.Web приличной?
Да вы зажрались.

сам такое ПО пишу с curl и всем советую )) (с) програмист бота
а так часто пишут для закачки сайта и спама его

Я извиняюсь, а cURL с сайта чем скачивали? wget'ом наверное.

А чтобы собрать вредоносное ПО, надо еще компилятор скачивать.

И патчить, иначе не собирается.

libcurl это не только http. Его могли качать для поддержки SCP, например.

интернет эксплойером же...)))