RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Trojans faq

14 мая 2004 года

Вирус, распространяющийся в графических файлах

"Лаборатория Касперского" предупреждает об обнаружении новой вредоносной программы Agent, распространяющейся внутри графических файлов формата ВМР. Троян Agent использует обнаруженную в феврале нынешнего года дыру в браузере Internet Explorer. Суть проблемы, напомним, сводится к тому, что с помощью специально измененного изображения в BMP-формате можно спровоцировать ошибку переполнения буфера и выполнить произвольный код на компьютере пользователя. Причем для проведения атаки достаточно, чтобы жертва просто просмотрела рисунок в браузере.

Как сообщает "Лаборатория Касперского", вирус Agent был разослан по электронной почте при помощи спам-технологий. Письма не содержат никаких отличительных признаков, кроме ВМР-файла. При просмотре изображения троян соединяется с удаленным сервером в доменной зоне Ливии и загружает оттуда программу-шпиона Throd. С помощью этого шпиона злоумышленники могут воровать персональную информацию с компьютера жертвы, например, адреса электронной почты, а также превращать машину в прокси-сервер. Таким образом, можно предположить, что троян Agent создавался спамерами с целью пополнения собственных баз данных адресов и осуществления массовых рассылок.

Важно заметить, что вредоносная программа способна заражать только компьютеры с русской версией операционной системы Win2Kи браузерами Internet Explorer 5.0 и 5.5. Этот факт косвенно указывает на Россию и страны СНГ, как наиболее вероятные места создания Agent. Кстати, заплатки для дыры в браузерах Microsoft, обеспечивающей возможность проведения атак с помощью ВМР-файлов, не существует, поэтому защититься от трояна можно лишь при помощи антивирусных программ или путем перехода на более новую версию Internet Explorer.

19.03.2004

Hовый вирус под названием Phatbot

 

Бесплатная консультация специалиста

Loading…
 
Специалисты по вопросам компьютерной безопасности вновь бьют тревогу. Во Всемирной сети обнаружен новый вирус под названием Phatbot, уже успевший заразить сотни тысяч компьютеров, работающих под управлением операционных систем Microsoft Windows.

Как сообщается, Phatbot представляет собой троянскую программу, способную проникать на машины через дыры в Windows или "черные ходы", оставленные другими вирусами, в частности, MyDoom и Bagle. После проникновения на компьютер вирус выполняет несколько основных операций. Во-первых, Phatbot ищет в памяти запущенные антивирусные процессы и пытается их закрыть (всего вирусу известно порядка 600 таких процессов). Во-вторых, троян вносит изменения в системный реестр, обеспечивая, тем самым, свой автоматический запуск при каждом включении компьютера. В-третьих, программа пытается украсть персональную информацию - логины и пароли для доступа к системе мгновенного обмена сообщениями AOL, ключи к играм, регистрационные ключи Windows и пр. Наконец, Phatbot подключает инфицированную машину к особой Р2Р-сети.

По словам экспертов, такая Р2Р-сеть может использоваться для организации DoS-атак или же для отправки миллионов рекламных сообщений без ведома владельцев компьютеров. Ситуация ухудшается еще и тем, что деактивировать вирус можно только лишь путем очистки всех до единого компьютеров, входящих в такую пиринговую сеть.

Следует заметить, что в основе Phatbot лежит код программы Waste - средства для организации пиринговой системы, разработанного сотрудниками американской фирмы Nullsoft. В настоящее время антивирусные компании заняты поисками средств защиты от Phatbot.

01.12.2003

Sysbug-A

Новый троян вновь играет на похотливом любопытстве и безалаберности пользователей. Вирусописатель потрудился придумать целую историю, чтобы заинтересовать свои жертвы непристойными фотографиями, которые находятся в инфицированном приложении.

Эксперты назвали сетевую напасть - Sysbug-A. Вирус пытается умыкнуть конфиденциальную информацию, включая пароль доступа, чтобы над зараженной машиной можно было установить удаленный контроль.

Sysbug-A приходит в электронные ящики от james2003@hotmail.com с темой "Re[2]Mary" and an attachment called "Private.ZIP ( Wendynakedjpg.exe)".

Сообщение представляет собой любовное письмо Джеймса к Мэри, где он просит прощения за то, что они занимались сексом без презерватива. Здесь же отмечается, что в приложение содержатся их фотографии, которые они сделали ночью во время понятно чего.

Как обычно, Sysbug-A рассчитан на ПК с ОС от компании Microsoft. Он копирует себя в папку Windows, как sysdeb32.exe и создает файлы svc.sav в означенной директории и C:\temp35.txt. По словам представителей компании Sophos, данные документы не представляют опасности и их можно просто удалить, - свидетельствует Web-User.Co.Uk.

«Совсем не важно насколько провокационные снимки предлагаются в электронном послании. Пользователи должны дважды подумать, прежде чем открыть аттачмент», - в сотый раз объясняет Грэхэм Клули из компании Sophos. – «Черт возьми, о чем вы думаете, когда активируете приложение, если вас не зовут Мэри, и вы не занимались небезопасным сексом с парнем по имени Джеймс?».

23 Июнь 2003

Обнаружен абсолютно новый вид сетевого трояна

Информационный портал eweek сообщает о том, что многие специалисты компьютерной безопасности крайне озабочены появлением абсолютно нового трояна, осуществляющего сетевое сканирование. Первыми его предварительный анализ осуществили господа из ISS (Internet Security Systems Inc.), которые определили его, как троян осуществляющий распределённое сканирование и содержащий также сетевого агента, деструктивные действия которого не активированы, однако (после анализа кода) было высказано предположение, что червь может быть доработан для выполнения деструктивных функций. С лёгкой руки ISS червь получил название Stumbler. О действиях червя проинформировал мировой сетевое сообщество Dan Ingevaldson - глава компании ISS. Червь представляет собой Linux-бинарник, который "проживает" в директории /tmp. Произвольным образом выбрав IP-адрес и диапазон портов, троян осуществляет сканирование хоста, посылая SYN-пакеты, при этом источник посылки посылается подменённым (спуффинг). Одной из отличительных особенностей трояна, позволяющего идентифицировать посылку им сетевых пакетов является размер TCP-окна (TCP window size), равный 55808 байт. Этот размер заставил экспертов предположить, что первоначальным источником был Randex IRC-бот, однако затем было высказано мнение, что размер был выбран случайно. В настоящий момент о трояне оповещены подразделения ФБР и Департамент Безопасности Отечества США (Department of Homeland Security). Первоначально присутствие подозрительной активности сетевого сканирования было замечено 16 мая. Также о предварительном анализе кода червя сообщила компания Intrusec, Inc., которая назвала его 55808 Trojan. Подробный анализ кода трояна занял бы очень много места, поэтому оставляем нашим посетителям возможность самостоятельно ознакомиться с особенностями и поведением нового червя, для чего и приводим ссылку на анализ трояна от Intrusec, Inc. Хотелось бы отметить, что в письме Intrusec утверждается, что этот тип червя представляет собой тип трояна 3-го поколения, идеи которого были описаны ранее Lancope.

Trojan name:
Port :
Acid Battery 1.0
32418
AimSpy
777
Ambush
10666
Antigen
25
AOLTrojan1.1
30029
Backdoor, Transscout
1999
BackConstruction 1.2+1.5
5400
Back Orifice 2000
8787
Back Orifice 2000
54320
Back Orifice DLL
1349
Back Orifice
31337
Back Orifice-DeepBO
31338
BigGluck, TN
34324
Bla 1.1
1042
Bla
20331
Blade Runner
5400
Blade Runner
5401

Профессиональные backdoors

В августе 98 года команда The Cult Of The Dead Cow выпустила пакет для удаленного администрирования – Back Orifice (BO). Честно говоря, я не очень обрадовался, когда услышал эту новость, так как я к этому времени уже писал «троянские кони». А после выхода BO люди все чаще и чаще стали задумываться о той опасности, которую несут в себе файлы неизвестного происхождения. Именно это помешало мне так же успешно продвигать свои творения несчастным юзерам – все теперь стали бдительными.

Antiviral Toolkit Pro, самый популярный в России антивирусный пакет, теперь стоит практически у 80 процентов всего населения Рунета, и он знает все известные и кучу малоизвестных троянов. Так как же обмануть пользователя сети и антивирусный пакет?

Выбор составляющих backdoor

Нет смысла говорить, что для добычи информации или доступа часто может понадобиться backdoor, который будет запущен там, где вам надо. Если выбран метод использования backdoor, то сразу же забудьте обо всех тех «неземных благах», которые несут в себе самые популярные трояны мира – BO, BO2K, NetBus Pro, Sub7, Donald Dick и прочие. Любой троян, про который знают более чем 5 человек, является неудачным. Помните, что самый эффективный троян, который может быть использован хакером – его личный троян, ну или, на крайний случай, тот, который написал хакерский друг-гуру. При составлении структуры трояна хакер должен забыть о всяких интересных и "полезных" вещах, таких как открывание cd-rom, выключение монитора, чат с жертвой. Backdoor нужен для того, что определяет его название – back door – незаметный проход, задняя дверь. Пишется он для того, чтобы получить доступ, манипулировать информацией, красть ее. Backdoor создается только для того, что нужно хакеру и ничего иного. В этом случае никакой антивирус не скажет про эту замечательную программу, что она backdoor.

Мне понадобилось как-то узнать пароль root на одном UNIX. По стандартному методу мышления мне надо ломать саму машину, где стоит UNIX. Но она очень хорошо защищена, и это не так легко сделать, если вообще возможно. Но если вспомнить про человеческую незащищенность и социальную инженерию, то все UNIX-машины становятся доступны.

Я сделал следующее: написал backdoor под Windows, который делал буквально следующее: он записывал все набранное на клавиатуре и давал доступ к диску. Все! Ничего лишнего. Получился этакий FTP-сервер с логой, того, что написано на компьютере. После этого я скачал все файлы с рабочей станции этого человека и взял логу того, что он писал. Этого оказалось достаточно, потому что там был аккаунт на UNIX-машину и пароль root. Его пароль был прописан в почтовом клиенте. А пароль root лежал в логе (когда он удаленно заходил на его сервер, он вводил этот пароль). В итоге была взломана машина UNIX. Хотя никакие стандартные методы проникновения замечены не были. Вывод: хакеру нужно думать более глобально, не ограничивать свое внимание только на объекте (жертве), а думать обо всех машинах в сети и о тех людях, которые сидят за этими машинами.

Так вот, поэтому практически во многих ситуациях нам достаточно прочитать веб-сайт жертвы и написать backdoor. После этого, определить: к чему и для чего необходимо получить доступ. Если надо всего лишь скопировать всю информацию и то, что вводил пользователь с клавиатуры – можно ограничиться упрощенным FTP-сервером и кей-логгером. Мне этого хватит. Если есть желание постоянно наблюдать за жертвой, то можно встроить еще функцию screenshot, чтобы смотреть на экран жертве. Или же встроить поддержку socks-соединения, чтобы работать не напрямую, а через socks-сервер, таким образом обезопасить себя. Можно также обеспечить шифрование передаваемых данных и проверку паролем доступа к backdoor жертвы и добавить, если это необходимо, удаленное управление реестром.

Plugins

На начальном этапе жертве посылается только база. Такая база, которая вообще нечего не умеет. Но к ней можно подключиться и пристраивать плагины. Можно это сделать в виде отдельных exe-файлов, а можно в виде dll. И в зависимости от того, что хакеру нужно на данном этапе, он подсоединяется к своему трояну-базе и вводит команду: скачать плагин file manager, чтобы управлять файлами. Он качает и тут же устанавливает его, а хакер работает. Можно пойти еще дальше. В программу встраивается своеобразный скрипт, где прописано, чтобы в каждый четверг она скачивала определенный плагин с какого-то URL, ставила и запускала его. Плаг-ин, совершив какую-либо работу и отослав результат своей работы хакеру на e-mail, удаляется. А взломщик, уже читая результат работы одного плагина, перестраивает скрипт на тот лад, который ему необходим. При достаточном терпении можно очень долго манипулировать этой машиной и быть незамеченным.

Ведь почему те юзеры, у которых не стоят антивирусы, догадываются о том, что с их компьютером что-то не так? Потому что злоумышленник часто бывает нетерпелив и поэтому перегружает машину жертвы так сильно, что это становится заметно невооруженным взглядом. Профессионалы терпеливы.

Stealth-backdoors

Теперь рассмотрим такую немаловажную вещь, как стелс-технологию. Заключается она в том, чтобы обмануть пользователя во время установки трояна и в тех случаях, когда юзер обнаружит троян и захочет его удалить. Мы не будем рассматривать такие принципы стелса, когда код трояна постоянно меняется, как в полиморфном вирусе. Я слышал, что разработчикам Donald Dick удалось сделать такое, но я в этом сомневаюсь. Реально полиморфного трояна создать нельзя. Создатели BO2K тоже во время разработки пытались сделать его полиморфным. Максимум, что им удалось – разбить троян на несколько частей.

Итак, приступим. Возьмем небольшую программу, которая занимает от 15 до 35 килобайт в зависимости от языка и компилятора. Эта программа ничего не отсылает по почте и к ней нельзя подключиться. Это специально делается для того, чтобы обезопасить сохранность этой программы от злобных реверс-инженеров. При запуске, а лучше через неделю после запуска, она соединяется с прописанным в ней FTP- или WWW-сервером. Скачивает с него некую модифицированную программу (например, internat.exe - переключение кодировки) с встроенным троянцем.

Я делал так: клал на FTP-сервер несколько версий этого internat: w95en.exe – w95 англ., w95ben.exe – w95 OSR2 англ., w95ru.exe – w95 рус., w95bru.exe – w95 OSR2 рус., w98en.exe – w98 англ., w98ru.exe – w98 рус., w98seen.exe – w98 SE англ., w98seru.exe - w98 SE рус., w2ken.exe – w2000 англ., w2kru.exe – w2000 рус. и качал соответствующий. После скачивания эта первоначальная программа заменяет родной internat программой, которая скачалась и удаляется. При перезагрузке он запускается как internat.exe, его даже видно в task list. Ни у кого нет подозрений. При этом порты он никакие не открывает, но раз в 30 минут принимает почту с определенного аккаунта, который в нем прописан. Если почта есть, он проверяет ее принадлежность к себе, если принадлежность обнаруживается, то он исполняет команды, которые там указаны. Например, запустить FTP-сервер или скачать программу из сети и ее запустить. Или удалиться. Или закачать лог-файл на FTP-сервер. Все, что угодно.

Второй вариант такой. Небольшая программа (30-60 кб) при запуске соединяется с прописанным в ней FTP-сервером, скачивает с него некую модифицированную программу (например, internat.exe - переключение кодировки) со встроенным троянцем. При перезагрузке соединяется со специальным сервисом, который злоумышленник запускает на какой-нибудь UNIX-машине, ждет команд от него, и уже на тот сервер посылает свои команды. При этом на машине жертвы никак не смогут узнать, какой именно хакерский IP-адрес. Поэтому вычислить хакера будет крайне тяжело, только через промежуточный сервер. А если промежуточный сервер запускать на каком-нибудь сервере, который не играет для взломщика никакой роли (например, взломанный shell-box), то он в любой момент сможет удалить всю информацию на нем.

И наконец, третий вариант. Небольшая программа (60 кб) при запуске соединяется с прописанным в ней FTP-сервером, скачивает с него полный комплект модифицированных программ, которые заменяют все стандартные утилиты (wordpad, internat, notepad, calc, image, write, explorer, scandisk, solitaire). При этом даже если кто-либо обнаружит, что-то в одной программе и заменит ее, будут работать другие. Желательно, чтобы в каждой из них был разный принцип работы (один через UNIX-box, другие через e-mail, третьи напрямую и т.д.). При этом, когда начинает работать другой, они шлют е-mail с извещением, каким образом ведет себя пользователь, и какие программы он запускает. Можно пойти дальше и заразить dll системы. В которых при вызове любой функции выполнялись бы и хакерские функции тоже.

Сетевые соединения

Как я борюсь с тем, что многие постоянно смотрят программой netstat свои текущие соединения? Все очень просто. В сети валяется исходник netstat, написанный на С. Нужно просто переписать его так, чтобы соединения с определенных адресов или на определенные порты не показывались. Можно пойти еще дальше. Взять и переписать dll winsock, т.к. существуют программы, которые показывают соединения, обращаясь напрямую к winsock. Исходный код winsock также можно легко найти в Сети.

5.10.2003  На дырах в Internet Explorer паразитирует очередной троян

Антивирусные компании предупреждают о появлении новой троянской программы, паразитирующей на дырах в браузере Internet Explorer. Напомним, что вскоре после выпуска. Microsoft патча, ликвидирующего дыру, возникающую при обработке тэга Object,выяснилось, что в Microsoft предусмотрели не все варианты использования дыры. Демонстрационные и вредоносные программы появились практически сразу. Среди троянов были замечены, программы, похищающие учетные записи интернет-пейджера AOL Instant Messenger.

На этой неделе стало известно о появлении очередного такого трояна. По Symantec, новый троян называется Qhosts и является малоопасным. Основной причиной отнесения Qhosts к малоопасным вредоносным программам стало то, что этот троян не содержит функций автоматического распространения, и для заражения компьютера пользователь должен зайти на принадлежащую хакеру страницу.

Будучи активирован, троян перехватывает управление службой DNS пораженного компьютера. В результате, вместо сайтов, нужных пользователю, последний попадает на другие серверы, которые так или иначе связаны с автором троянской программы. Стоит отметить, что на этих сайтах могут размещаться другие вредоносные программы, способные нанести ущерб компьютеру. Пока от Qhosts и подобных ему троянов не существует защиты, кроме антивирусов и брандмауэров. Microsoft еще только обещает выпустить новый патч, ликвидирующий дыру в IE.

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles

Windows 10 | Registry Windows 10 | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 ©  2004