Come verificare se URL / IP appartiene a un bot zeus

Se stai cercando informazioni già analizzate e la tua domanda non riguarda i metodi tecnici per identificare un server Zeus C & C; puoi guardare i seguenti luoghi:

• malwaredomainlist.com
• malwaredb.malekal.com
• exposedbotnets.com
• scumware.org
• malc0de.com
• cybercrime-tracker.net
• vxvault.siri-urz.net
• nothink.org
• botnet-tracker.blogspot.ch
• atlas.arbor.net
• marworm.com
• zeustracker.abuse.ch (Zeus botnet tracker)
• alienvault.com

Tieni presente che puoi anche utilizzare quei luoghi per cercare molte altre minacce / attività dannose rispetto a Zeus.

Per prima cosa, puoi consultare l'elenco abuse.ch zeustracker .

In secondo luogo, si noti che l'elenco abuse.ch è la fonte primaria per la iblocklist.com lista zeus. Potresti anche voler consultare alcuni dei numerosi elenchi di malware su iblocklist.com per cercare altri siti di malware.

Separatamente, è possibile verificare su quale base sta effettuando la determinazione il dispositivo di sicurezza: sta utilizzando un elenco (forse uno di questi)? Se sta usando un elenco, quale, e quanto spesso lo aggiorna? Utilizza invece l'anestes del traffico (come Snort)?

Quando ricevo avvisi di possibile infezione da zeus dalle appliance di sicurezza, questo è quello che faccio di solito:

1. controlla l'URL con zeustracker
2. se l'URL non si trova nel db di zeustracker, controlla virustotal
3. se sono presenti rilevamenti, probabilmente questa è una connessione malevola
4. Esegui un tcpdump sulla connessione per controllare i pacchetti

zeustracker ha una guida che mostra come identificare il malware zeus, vai a dare un'occhiata