Антивирус

[Ratnik.RU 29]

Вот здесь заведи.........

Благодарю Utilizator !

[nb79 88]

Продолжаем просветительскую дейтельность

Попалось тут на просторах паутины. Это описание к трояну от автора. Весть боевой комплект у меня на руках есть. Сразу скажу, что его еще не ковырял. И не дам никому не при каких условиях. Из описания совершенно очевидно, что за своей машинкой НАДО следить! Повторю, это описание автора.

//----------------------------------------------

Описание:

Работает по принципу надстройки к Internet Explorer, не виден в процессах, посылка логов осуществляется скрытно от файрволлов, и других программ контроля сетевой активности - трафик троя идет вместе с полезными данными браузера.

Поставляется как загрузчик, который после запуска удаляется, распаковав сам трой и сделав все необходимые записи в реестре. При первом запуске IE очищает кукисы, читает Protected Storage(автосохраненные пароли в IE, пароли к Outlook и тд) и отмечается в админке (*). По мере посещения пользователем сайтов, грабит параметры форм, которые передаются на сервер, нажатые в браузере клавиши.

КОМАНДЫ:

- обновление троя

- запуск произвольного exe файла (подгрузка)

- обновление конфигуратора (xml файла)

- очистка Cookies

- удаление троя

- кража ключей bankofamerica, а также ключей тех банков, что перешли на систему ключей

- удаления ВСЕХ ключей bankofamerica, а также ключей остальных банков (контрольные вопросы снова задаются, и можно сграбить ответы на них)

- добавление строки в файл hosts - для блокировки определенного сайта(создается впечатление, будто он не грузится вовсе)

- ребут Windows

- убить Windows

Возможности троя XXXXX (**):

- граббинг околоформенных слов (всех подряд или по шаблону, прописанному в конфе)

- логгинг всех нажатых клавиш в браузере, в момент когда пользователь вводит что-нибудь в окне редактирования формы (иногда бывает полезно - например когда введенные данные шифруются после сабмита формы)

- логгинг виртуальных клавиатур (универсальная технология, была разработана для турецких и австралийских банков)

- кража ключей (bankofamerica, а также другие банки, у которых защита построена на основе ключей) - приходят в архиве, архив создается у юзера на компьютере.

- удаления ключей (bankofamerica, а также другие банки, у которых защита построена на основе ключей) - полезно, чтобы заставить юзера ввести ответы на секретные вопросы

- скам (они же фейк-страницы с подменой адресной строки IE и строки состояния)

- сбор emails (с адресных книг юзерей) - по желанию включаю эту возможность.

- установка фильтров для сайтов, которые грабить не нужно

- инжект кода (вставка своего текстового поля ввода на определенном сайте - например чтобы спросить pin у холдера)

- умный инжект - блокировка формы пока юзер не введет в инжектируемые поля данные (проверка по кол-ву символов, их типу - цифры или буквы)

- таны (грабинг рабочих танов) - актуально для немецких сайтов

- добавление строки в файл hosts (полезно, чтобы запретить юзеру ходить на определенный сайт)

- заставить ребутнуться машину юзера. Перед ребутом, убиваются все процессы.

- убить винду, - при дачи данной команды удаляются два файла, ответственных за загрузку винды. При перезагрузке (данная команда ее не выполняет) напишет , что загрузчик не найден

Это за отдельную плату (т.к. пока для каждого сайта затачивается отдельно):

- скрытый трансфер (трансфер по команде из админки) - затачивается ЖЕСТКО под один банк

- автозалив (например когда пользователь делает трансфер, трой подставляет ваш целей счет - или дропа и нужную вам сумму) - полезно если трансфер требует смс-подтверждения. Жестко к конкретному банку привязывается.

Админка написана на PHP включает :

- отображение пользователей в админке

- дачу команд выбранным пользователям

- удаление команд и пользователей

- показ статус выполнения команды

- отображение страны и IP пользоватля

- возможность удаления лога

- отображение размера логов

- поиск по логам

- архивация логов

- фильтрация по стране

- возможность посылки логов на email

- статистику по заражениям

- просмотр сграбленных emails

- дачу заметок выбранным пользователям

- время последнего захода

- отображение в постраничном виде (скажем по 200 записей на страницу)

- возможность грабить все в один файл (по желанию)

- сортировка логов по разным критериям

- удаление всех логов

- есть возможность записи логов в mysql, а также возможность поиска по ним же там(на порядок быстрее поиск)

Данные команды скачиваются с хостинга через определенный интервал времени и выполняются; в админке можно видеть статус команды для определенного пользователя - скачана\скачана но не выполнена\выполнена.

Лечение от антивируса - 40 wmz

Перепрошив на другой хост - 40 wmz

Билд - 1000 wmz

Кроме того, есть возможность приобрести отдельно локальный парсер для логов. По всем вопросам стучитесь на мою аську.

В планах продажа билдера. Ориентировочная цена - 3500 wmz.

//----------------------------------------------

(*) - Админка. Административная консоль, с помощю которой человек обладающий троем может управлять поведением трояна на машинах пользователей.

(**) - Возможности троя XXXXX. Название трояна забил иксами я. Об'яснять не буду.

Ну и ICQ автора тоже не стал оставлять

[=HD=Golem 48]

Автор совсем не боится видимо.

Резюме: IE не пользуемся почтовыми клиентами тоже

[Utilizator 1]

Что-то в последнее время антивирус при переходе на некоторые сайты выдает такое:

Kaspersky Internet Security 7.0

The requested URL http://www.какой-то.com/ is forbidden

и не пущает. Кто-нибудь знает как это отключить, а то задрал уже, тем более, что сайты как правило оказываются безопасны.

[nb79 88]

Автор совсем не боится видимо.

Резюме: IE не пользуемся почтовыми клиентами тоже

Это не автор не боится, а как раз на оборот. Кто то попалил его. Там сейчас девственно чисто, все подтерто. Но я успел

Теперь про животное.

Автор ленивое, беспринципное и хочущее денег, и тоже животное. Трой распаковывается на ура, но, видимо для того, что бы выдавить копеечку проверяет себя и не дает покриптовать или распаковать себя. Отказывается работать после этого. Видимо это должно стимулировать покупателя на отдачу доп. денюшек за заточку под конкретно его нужды.

Внутри ничего примечательного. Создается Mutex 'HelperMutex', по которому, кстати, трояна можно пропалить. На это 5 мин. надо. В любой среде пишем програмку, которая пытается создать мютекс с таким именем и выводит результат создал/не создал. Запускаем IE и потом нашу програмку. Если мютекс не создался, нас окучили Только програмку надо в одном экземпляре запускать, или в нее добавить проверку на запуск больее, чкм одной копии. Это тоже на мютексах сделать можно В SystemDirectory размещаются след. файлы: helper.xml, tns.dll, commands.xml, accs.txt, alog.txt. В TempPath следующие: cookie.dat, %s\%s.zip (формируктся имя директории и файла из UserID), ps.dat. И потом взводится таймер и создается thread в котором собственно все и делается.

Еще создает на винте папку c:\temp. Наверное для каких то своих временных нужд.

Кстати. При создании мютекса троян не проверяет успешность его создания. В трое 12 ссылок на Handle мютекса. Все (кроме открытия/закрытия) используются для синхонизации. Что будет, если не удалось открыть мютекс мне смотреть лень. Скорее всего трой просто обрушится с грохотом, либо будет бесконечно ждать у моря погоды

Поскольку троян есть ничто иное, чем ActiveX, то находится он и поиском в реестре. Ищем след строки:

B9858C2B-EE74-4730-A38D-AFF3BE507625 - это у нас Type Library

33161E98-0A6C-4D3C-BD62-3A7D56137F52 - это у нас Helper Class / CoClass Hook

23B7B1AF-6840-4784-B654-1744EFBF8844 - это у нас IHook Interface / Dispatch IHook

по найденым записям определяем имя ActiveX (по умолчанию syswin.dll, но можно ведь и переименовать!)

Грохаем сам файл и связанные с ним записи в реестре. Подчищаем весь мусор, натащеным троем. Вуаля

Можно ActiveX разрегистрировать и штатным образом.

Надо иметь ввиду, что он может прогрузить на хост жертвы всякого мусора. От желания злоумышленика зависит. Этот мусор тоже может быть разнообразными троянами и вирусами.

Я думаю, что всякие Касперы и Symatec'и и прочь. его уже палят.

PS: Удаляя его с винта имейте ввиду, что пока запущен IE он сидит в пямяти. И если его не выгрузить из плагинов (Tools->Manage Add-ons->Enable or Disable Add-ons...), то он себя восстановит! По этому ВСЕ операции делать после перезагрузки и не запускать IE пока не почистимся.

PPS: Написан трой так себе. Я дольше этот текст набирал, чем с ним разбирался

PPPS: Автор троя видимо сильно любит, или не любит Валерочку Меладзе

[=HD=Golem 48]

NB ты это кому Я например вообще ничего не понял, я не Копенгаген в таких вещах абсолютно

[nb79 88]

NB ты это кому Я например вообще ничего не понял, я не Копенгаген в таких вещах абсолютно

Так я же говрю, продолжаем просветительскую дейтельность! Индейцы тоже Кортеза не понимали, а сейчас смотри, каждый в теме

[=HD=Golem 48]

Индейцы тоже Кортеза не понимали, а сейчас смотри, каждый в теме

В смысле почти все умерли?

[=HD=Boor 22]

Автор совсем не боится видимо.

Резюме: IE не пользуемся почтовыми клиентами тоже

и деньги храним налом....)))) в слитках...

[=HD=Boor 22]

В смысле почти все умерли?

дык и это...Кортез то тоже того...дуба дал ((((

[nb79 88]

В смысле почти все умерли?

Умерли те, кто не понимал! Вот твой компьютер, это Терра Инкогнито, и индейцы твои живут себе спокойно. Чего им надо то? Патат да кукуруза есть, солнце светит. Но где то на горизонте уже трепещут вымпела в попутном ветре...

[nb79 88]

дык и это...Кортез то тоже того...дуба дал ((((

До этого нам, увы еще далеко... Современных Картезов хватает.

[=HD=Boor 22]

.............. Но где то на горизонте уже трепещут вымпела в попутном ветре...

настоящему индейцу - поеб-ть....

[nb79 88]

настоящему индейцу - поеб-ть....

Ладно, будет чего интересного для индейцев, отпишу.

[SLI=Hetzer_34= 10]

И при чем тут апач?

[=HD=Boor 22]

Ладно, будет чего интересного для индейцев, отпишу.

да ты пиши, интересно....не все тут настоящие индейцы.... :rolleyes:

[SLI=Hetzer_34= 10]

Гы. Я вот как в июле винду поставил, так и антивирь не юзал, за исключением ad-aware. Вот торкнуло поставить Symantec AntiVirus, лицензионный он у меня. :biggrin: Поставил, скачал обновление. Просканил. Чистенько! За исключением троянца в... ТимСпике. А тимспик я качал давно с playground'а. Гы, пришлось качать с gototeamspeak. Чистенько. Вот так вот...

[nb79 88]

Гы. Я вот как в июле винду поставил, так и антивирь не юзал, за исключением ad-aware. Вот торкнуло поставить Symantec AntiVirus, лицензионный он у меня. :biggrin: Поставил, скачал обновление. Просканил. Чистенько! За исключением троянца в... ТимСпике. А тимспик я качал давно с playground'а. Гы, пришлось качать с gototeamspeak. Чистенько. Вот так вот...

Индеец, блин...

[Ratnik.RU 29]

Прогу "SpywareTerminator" кто нибудь пользует, и если да, то какие впечатления?

[=HD=Boor 22]

Индеец, блин...

не просто индеец, а реальный индеец...

а вот подскажите кто нибудь монитор обращений к хардам....

[nb79 88]

не просто индеец, а реальный индеец...

а вот подскажите кто нибудь монитор обращений к хардам....

Это, увы, тема больная. Фильтр-драйвером тут не отделаться. Детали не помню, но помню года полтора - два в нашей тусовке этот вопрос обсуждался. Резюме - первые мои два предложения. Жопа там. Что вобщем то и очвидно. В какое место втыкать драйвер? Во! Сразу за винтом не встать. После виндового/производтеля драйвера уже позно. А так бы все антивирусники уже давно это на вооружение взяли.

PS: Драйвер сам писал только однажды. Не для винтов Разбираюсь в этом плохо. Так что допускаю, что мое мнение может быть ошибочным.

[=HD=Golem 48]

Гы. Я вот как в июле винду поставил, так и антивирь не юзал, за исключением ad-aware. Вот торкнуло поставить Symantec AntiVirus, лицензионный он у меня. :biggrin: Поставил, скачал обновление. Просканил. Чистенько! За исключением троянца в... ТимСпике. А тимспик я качал давно с playground'а. Гы, пришлось качать с gototeamspeak. Чистенько. Вот так вот...

Хэт, давным-давно было, ещё от авторов, что в Тимспике определяется антивирусами дрянь. Он пояснял что дрянью сие не является и давал развернутые объяснения почему так выходит. А свежая версия может просто лишена этого.

[SLI=Hetzer_34= 10]

Хэт, давным-давно было, ещё от авторов, что в Тимспике определяется антивирусами дрянь. Он пояснял что дрянью сие не является и давал развернутые объяснения почему так выходит. А свежая версия может просто лишена этого.

Ну если так то тем более чистенько. Хотя... Тому инсталятору 4 года. Обновить палезна.

[Utilizator 1]

Помогите плиз, KIS 7 блокирует пингвина из IL2 Connect, хотя в настройках стоит разрешать любую активность, как его разблокировать не отключая KIS?