Реклама на hackersoft.ru Реклама на hackersoft.ru

Вернуться   Форумы Hackersoft > Околотематические разделы > Другое > Новости
CHAT Регистрация Справка Пользователи Доска почета Календарь Поиск Сообщения за день Все разделы прочитаны

Новости Новости информационного мира, новости ИТ, хакерские новости.

Ответ
 
Опции темы
Старый 26.06.2012, 18:05   #1
[email protected]
advanced 
 
Аватар для odr@dek
 
Регистрация: 22.06.2008
Сообщений: 385
Вес репутации: 14 odr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалист
Депозит: 0$
Вы сказали Спасибо: 31
Поблагодарили 246 раз(а) в 128 сообщениях
Чат с хакером внутри вируса

Эксперт по компьютерной безопасности Хинек Блинка (Hynek Blinka) из компании AVG рассказал любопытную историю, как ему пришлось разговаривать с автором вируса в процессе дебаггинга программы. Хинек говорит, что такое случилась впервые в его карьере.

Всё началось с того, что в руки Блинке попала неизвестная, но явно вредоносная программа, которая распространялась на форумах с battle.net на Тайване. Специалист немедленно начал изучать код. Он запустил зловреда на виртуальной машине и обнаружил, что тот стучится на удалённый сервер по TCP 80 и скачивает новые файлы для установки.



Это простой downloader/backdoor, который не заинтересовал исследователя, потому что его задачей было найти кейлоггер для Diablo III — в последнее время возникли проблемы с массовым похищением аккаунтов игроков, поэтому Блинке поставили задачу найти этот кейлоггер и посмотреть, как он работает.

Когда программа подключилась к удалённому серверу и начала скачивать новые модули, Хинек Блинка оторопел: на экране внезапно возникло окно чата с сообщением (переведено с китайского):



— Что ты делаешь? Почему ты изучаешь мой троян?

Этот диалог не был частью какой-то программы, установленной на виртуальной машине. Окно было вызвано самим бэкдором. Удивительно, что автор трояна в этот момент был в онлайне и заметил, что кто-то копается в его программе. Блинка решил поддержать с ним разговор, чтобы выудить побольше информации. Тот вёл себя весьма высокомерно.

Блинка: Я не знал, что ты видишь мой экран.
Хакер: Я бы хотел увидеть и твоё лицо, жаль, что у тебя нет камеры.

Он говорил правду, в бэкдоре действительно была функция контроля веб-камеры, а также управления мышью, трансляции скринкаста и т.д. Вредоносная программа классифицирована в антивирусной базе AVG как вариант BackDoor.Generic.

Хинек Блинка продолжил разговор с хакером, притворившись, что хочет купить программу, но тот прекратил сессию. Специалист говорит, что это были потрясающие впечатления: он и коллеги много лет изучают подобные вирусы, но редко вступают в чат с их авторами.

P.S. Кстати, похожая история случилась десять лет назад, когда специалист по безопасности Стив Гибсон осуществил обратный инжиниринг трояна и использовал пароль из него для входа в закрытую чат-комнату, потом Стива Гибсона и его сайт GRC.com заддосил 13-летний владелец маленького ботнета.

_http://www.xakep.ru/post/58870/

\\==============================\\
Ну, кто чо думоет, на предмет реализации токого прикола?

Мне чото сдаеццо, что бот каким то образом, определил, что запустился в Ольке, и на хост отправил запрос на скачку модуля чата и его запуск, ну или определился что запущен в виртуалке.... Ну как_то так.... =\
\\================================\\

Мудр тот, кто знает не многое, а нужное.
Эсхил
odr@dek вне форума   Ответить с цитированием
Старый 26.06.2012, 18:20   #2
k0t_
advanced 
 
Регистрация: 29.11.2007
Прописка: Днепропетровск
Сообщений: 395
Вес репутации: 9 k0t_ пользовательk0t_ пользователь
Депозит: 0$
Вы сказали Спасибо: 64
Поблагодарили 128 раз(а) в 96 сообщениях
бакдоры иногда содержат модуль чата - как составную часть системы удаленного управления.
k0t_ вне форума   Ответить с цитированием
Старый 26.06.2012, 18:54   #3
[email protected]
advanced 
 
Аватар для odr@dek
 
Регистрация: 22.06.2008
Сообщений: 385
Вес репутации: 14 odr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалист
Депозит: 0$
Вы сказали Спасибо: 31
Поблагодарили 246 раз(а) в 128 сообщениях
Цитата:
Сообщение от k0t_ Посмотреть сообщение
бакдоры иногда содержат модуль чата - как составную часть системы удаленного управления.
Вопрос не в модуле, а в том, как он (бот) определил, что его реверсят!

Мудр тот, кто знает не многое, а нужное.
Эсхил
odr@dek вне форума   Ответить с цитированием
Старый 26.06.2012, 20:42   #4
k0t_
advanced 
 
Регистрация: 29.11.2007
Прописка: Днепропетровск
Сообщений: 395
Вес репутации: 9 k0t_ пользовательk0t_ пользователь
Депозит: 0$
Вы сказали Спасибо: 64
Поблагодарили 128 раз(а) в 96 сообщениях
Цитата:
Сообщение от [email protected] Посмотреть сообщение
Вопрос не в модуле, а в том, как он (бот) определил, что его реверсят!
ну а ***. китайские хакеры настолько суровы - шо им глубоко ***- он еще и *** наверное обложил чувака.
Бот просто определил что он запущен под отладчиком и послал уведомление владельцу.

Последний раз редактировалось Demon, 26.06.2012 в 22:31.
k0t_ вне форума   Ответить с цитированием
Старый 27.06.2012, 02:29   #5
[email protected]
advanced 
 
Аватар для odr@dek
 
Регистрация: 22.06.2008
Сообщений: 385
Вес репутации: 14 odr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалист
Депозит: 0$
Вы сказали Спасибо: 31
Поблагодарили 246 раз(а) в 128 сообщениях
Demon
Не ну ты серьезно достал!

> Бот просто определил что он запущен под отладчиком и послал уведомление > > >владельцу.
k0t_
Я собственно и описал свое предположение, вопрос в реолезации...
кодес в студию! Ну иль хотяб мысли.....

добавлено через 11 минут
k0t_
Кинул в аське линк:
_http://www.delphisources.ru/pages/faq/base/is_app_debugging.html
Спосб прост...
Но не верю, что спецы поведуться,....
Есть еще мысли?

Мудр тот, кто знает не многое, а нужное.
Эсхил

Последний раз редактировалось [email protected], 27.06.2012 в 02:40. Причина: Добавлено сообщение
odr@dek вне форума   Ответить с цитированием
Старый 27.06.2012, 02:50   #6
k0t_
advanced 
 
Регистрация: 29.11.2007
Прописка: Днепропетровск
Сообщений: 395
Вес репутации: 9 k0t_ пользовательk0t_ пользователь
Депозит: 0$
Вы сказали Спасибо: 64
Поблагодарили 128 раз(а) в 96 сообщениях
Ну то ч то я кинул - это самое деревянное.
начинать надо с чтения http://www.wasm.ru/article.php?article=debugreg а потом уже творчиске это развивать. потому как способов дох**а.

Последний раз редактировалось SoftHack, 28.06.2012 в 11:14. Причина: пока Demon не увидел
k0t_ вне форума   Ответить с цитированием
Старый 28.06.2012, 00:59   #7
[email protected]
advanced 
 
Аватар для odr@dek
 
Регистрация: 22.06.2008
Сообщений: 385
Вес репутации: 14 odr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалистodr@dek специалист
Депозит: 0$
Вы сказали Спасибо: 31
Поблагодарили 246 раз(а) в 128 сообщениях
Чото ты перегнул =\
Я не думаю, что школяр (бот то ворует акки то игры Дьяболо 3, сталобыть скорее всего школяр или студент) буит уж так извращатсо, да я кстате сам так и не понел,, что это дает в данном случае =\

Мудр тот, кто знает не многое, а нужное.
Эсхил
odr@dek вне форума   Ответить с цитированием
Старый 28.06.2012, 01:12   #8
k0t_
advanced 
 
Регистрация: 29.11.2007
Прописка: Днепропетровск
Сообщений: 395
Вес репутации: 9 k0t_ пользовательk0t_ пользователь
Депозит: 0$
Вы сказали Спасибо: 64
Поблагодарили 128 раз(а) в 96 сообщениях
Цитата:
Сообщение от [email protected] Посмотреть сообщение
Чото ты перегнул =\
Я не думаю, что школяр (бот то ворует акки то игры Дьяболо 3, сталобыть скорее всего школяр или студент) буит уж так извращатсо, да я кстате сам так и не понел,, что это дает в данном случае =\
акки в диабло (WoW, WoT и им подобных) воруют совсем не школяры. Это как правило небольшие компании в которых один-три программера и это вполне состоявшийся бизнес в Китае, Корее, Британии той же. И торчат на этом вполне состоявшиеся люди - школяры много денег потратить не могут. так што
Кроме того - тип же пишет - он думал что это для воровства акков - а на самом деле это был бекдор - их частенько втюхивают игрокам. Как правило их пишут люди вполне с головой дружащие.
k0t_ вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Часовой пояс GMT +4, время: 00:09.


© 2005 — +∞ Hackersoft. Все и вся защищены.
Публичная оферта | Правила форума | Реклама на сайте
Powered by vBulletin®©™ Jelsoft®©™ Enterprises Ltd. Перевод: zCarot.
Реклама на hackersoft.ru Реклама на hackersoft.ru