-
Junior Member
- Вес репутации
- 63
Анализ и деактивация троянов
В двух словах: Обычно трояны шлют информацию на почтовый ящик или скрипт на сайте.
В обоих случаях при наличии файла трояна возможна его декомпиляция и узнавание адреса сайта/почтового ящика с паролем троянщика (говнописателя) и, как следствие, деактивация (сменой пароля того злощастного ящика или самого сайта).
Так что.
Если Вам прислали трояна, не торопитесь его удалять!
С удовольствием декомпилирую и сменю пароли на ящике говонописателя
[URL="http://www.rootkits.ru"]www.rootkits.ru[/URL]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
И как вы собираетесь узнавать пароли?
-
-
Даже прямая отправка через локальный smtp-сервер не требует знания пароля от ящика. А белое хакерство, когда "погибает" черный хакер, все равно преследуется по закону.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
VIKT0R
В двух словах: Обычно трояны шлют информацию на почтовый ящик или скрипт на сайте.
В обоих случаях при наличии файла трояна возможна его декомпиляция и узнавание адреса сайта/почтового ящика с паролем троянщика (говнописателя) и, как следствие, деактивация (сменой пароля того злощастного ящика или самого сайта).
Так что.
Если Вам прислали трояна, не торопитесь его удалять!
С удовольствием декомпилирую и сменю пароли на ящике говонописателя
Нежели Вы думаете, что авторы malware настолько глупы и пишут адреса открытым текстом? Там такая крипто-защита что Вам и не снилось!
-
-
Наивный юноша, прочитавший какую-то популярную статью в периодике! :-)
-
-
Junior Member
- Вес репутации
- 62
Ну насчёт декомплирую это не всегда реально в короткие сроки, но всё равно можно запустить под виртуальной машиной, которую естественно снифать и зачастую несложно узнать механизм отправки ботом статистики ресурс или почту.
p.s.А насчёт смены пароля то данное деяние содержит признаки совершения преступления предусмотренного 272 статьей УК РФ и аналогичными статьями других стран. Благими намереньями знаете ли ......
-
Junior Member
- Вес репутации
- 63
Там такая крипто-защита что Вам и не снилось!
Есть по крайней мере один вариант защиты, при котором нельзя расшифровать: это свой протокол обмена. То есть мальвара общается со своим абузоустойчивым сервером, используя, скажем, ассиметричное шифрование (т.е. не отправка письма и не банальный http).
Вы такое видели? Это мальварщику в копеечку влетит. Намного более распространена схема, когда у барыг покупают криптованного пинча/агента и др. Он шлет очтеты на ящик/гейт. Там Дамрай сделал банальную криптовку пароля base64 в первой и двойной base64 - во второй версии.
Даже прямая отправка через локальный smtp-сервер не требует знания пароля от ящика. А белое хакерство, когда "погибает" черный хакер, все равно преследуется по закону.
Так ведь деяние не общественно опасное, а хакер "погиб". Поэтому по закону уже никто преследовать не будет .
Не все сервера.
Наивный юноша, прочитавший какую-то популярную статью в периодике! :-)
Чукча не читатель. Чукча писатель. И перестаньте пить водку :-)
Ну насчёт декомплирую это не всегда реально в короткие сроки, но всё равно можно запустить под виртуальной машиной, которую естественно снифать и зачастую несложно узнать механизм отправки ботом статистики ресурс или почту.
Верно. От себя добавлю, что нелишне продатчить саму виртуальную машину, а то задетектить ее - сущая пара пустяков для лошадки.
Собственно, хотелось взглянуть на экзотику.
[URL="http://www.rootkits.ru"]www.rootkits.ru[/URL]
-
На самый интересный вопрос, как собирались изменить пароль, не ответили.
Сообщение от
VIKT0R
Собственно, хотелось взглянуть на экзотику.
То есть, обманывая напрасные ожидания пострадавших, собираете сэмплы?
-
-
Сообщение от
VIKT0R
Есть по крайней мере один вариант защиты, при котором нельзя расшифровать: это свой протокол обмена. То есть мальвара общается со своим абузоустойчивым сервером, используя, скажем, ассиметричное шифрование (т.е. не отправка письма и не банальный http).
Вы такое видели? Это мальварщику в копеечку влетит. Намного более распространена схема, когда у барыг покупают криптованного пинча/агента и др. Он шлет очтеты на ящик/гейт. Там Дамрай сделал банальную криптовку пароля base64 в первой и двойной base64 - во второй версии.
Я говорю не о шифровании передаваемой информации, а о защите самого трояна.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
Там такая крипто-защита что Вам и не снилось!
С этого момента поподробнее в каком конкретно малваре сильная криптозащита, не позволяющая анализом траффика найти адрес скрипта или ящих электронной почты?
-
Сообщение от
alabama
С этого момента поподробнее в каком конкретно малваре сильная криптозащита, не позволяющая анализом траффика найти адрес скрипта или ящих электронной почты?
Я говорю о защите от дизассемблирования и отладки.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
Я говорю о защите от дизассемблирования и отладки.
А понял, крипторы действительно очень неплохие есть. Однако дизассемблирование нужно не всегда, а я бы даже сказал в редких случаях.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Shark
Ну если автор имеет ввиду отправку писем через MAPI, то он прав.
Сообщение от
Shark
Немножко не так. Тогда Цутому Шимомура, упрятавший Кевина Митника, тоже сидеть должен?
Если делать вывод о действиях Шимомуры на основании фильма и книги, то он действительно должен сидеть. Но вероятно потому, что это не соответсвует действительности претензий к нему правоохранительные органы США не имеют.