Показано с 1 по 14 из 14.

Анализ и деактивация троянов

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2007
    Адрес
    Deutschland
    Сообщений
    18
    Вес репутации
    63

    Анализ и деактивация троянов

    В двух словах: Обычно трояны шлют информацию на почтовый ящик или скрипт на сайте.

    В обоих случаях при наличии файла трояна возможна его декомпиляция и узнавание адреса сайта/почтового ящика с паролем троянщика (говнописателя) и, как следствие, деактивация (сменой пароля того злощастного ящика или самого сайта).

    Так что.
    Если Вам прислали трояна, не торопитесь его удалять!
    С удовольствием декомпилирую и сменю пароли на ящике говонописателя
    [URL="http://www.rootkits.ru"]www.rootkits.ru[/URL]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    И как вы собираетесь узнавать пароли?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Даже прямая отправка через локальный smtp-сервер не требует знания пароля от ящика. А белое хакерство, когда "погибает" черный хакер, все равно преследуется по закону.
    Опыт — это слово, которым люди называют свои ошибки.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от VIKT0R Посмотреть сообщение
    В двух словах: Обычно трояны шлют информацию на почтовый ящик или скрипт на сайте.

    В обоих случаях при наличии файла трояна возможна его декомпиляция и узнавание адреса сайта/почтового ящика с паролем троянщика (говнописателя) и, как следствие, деактивация (сменой пароля того злощастного ящика или самого сайта).

    Так что.
    Если Вам прислали трояна, не торопитесь его удалять!
    С удовольствием декомпилирую и сменю пароли на ящике говонописателя
    Нежели Вы думаете, что авторы malware настолько глупы и пишут адреса открытым текстом? Там такая крипто-защита что Вам и не снилось!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ВодкуГлыть
    Регистрация
    08.05.2006
    Адрес
    Омск
    Сообщений
    399
    Вес репутации
    155
    Наивный юноша, прочитавший какую-то популярную статью в периодике! :-)
    Быстро, Качественно, Дёшево - вычеркните лишнее слово.
    http://www.pcmag.ru/images/pcm_it_specialist.png

  7. #6
    Junior Member Репутация
    Регистрация
    14.06.2007
    Сообщений
    11
    Вес репутации
    62
    Ну насчёт декомплирую это не всегда реально в короткие сроки, но всё равно можно запустить под виртуальной машиной, которую естественно снифать и зачастую несложно узнать механизм отправки ботом статистики ресурс или почту.
    p.s.А насчёт смены пароля то данное деяние содержит признаки совершения преступления предусмотренного 272 статьей УК РФ и аналогичными статьями других стран. Благими намереньями знаете ли ......

  8. #7
    Junior Member Репутация
    Регистрация
    10.02.2007
    Адрес
    Deutschland
    Сообщений
    18
    Вес репутации
    63
    Там такая крипто-защита что Вам и не снилось!
    Есть по крайней мере один вариант защиты, при котором нельзя расшифровать: это свой протокол обмена. То есть мальвара общается со своим абузоустойчивым сервером, используя, скажем, ассиметричное шифрование (т.е. не отправка письма и не банальный http).
    Вы такое видели? Это мальварщику в копеечку влетит. Намного более распространена схема, когда у барыг покупают криптованного пинча/агента и др. Он шлет очтеты на ящик/гейт. Там Дамрай сделал банальную криптовку пароля base64 в первой и двойной base64 - во второй версии.

    Даже прямая отправка через локальный smtp-сервер не требует знания пароля от ящика. А белое хакерство, когда "погибает" черный хакер, все равно преследуется по закону.
    Так ведь деяние не общественно опасное, а хакер "погиб". Поэтому по закону уже никто преследовать не будет .
    Не все сервера.


    Наивный юноша, прочитавший какую-то популярную статью в периодике! :-)
    Чукча не читатель. Чукча писатель. И перестаньте пить водку :-)

    Ну насчёт декомплирую это не всегда реально в короткие сроки, но всё равно можно запустить под виртуальной машиной, которую естественно снифать и зачастую несложно узнать механизм отправки ботом статистики ресурс или почту.
    Верно. От себя добавлю, что нелишне продатчить саму виртуальную машину, а то задетектить ее - сущая пара пустяков для лошадки.

    Собственно, хотелось взглянуть на экзотику.
    [URL="http://www.rootkits.ru"]www.rootkits.ru[/URL]

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    На самый интересный вопрос, как собирались изменить пароль, не ответили.
    Цитата Сообщение от VIKT0R Посмотреть сообщение
    Собственно, хотелось взглянуть на экзотику.
    То есть, обманывая напрасные ожидания пострадавших, собираете сэмплы?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от VIKT0R Посмотреть сообщение
    Есть по крайней мере один вариант защиты, при котором нельзя расшифровать: это свой протокол обмена. То есть мальвара общается со своим абузоустойчивым сервером, используя, скажем, ассиметричное шифрование (т.е. не отправка письма и не банальный http).
    Вы такое видели? Это мальварщику в копеечку влетит. Намного более распространена схема, когда у барыг покупают криптованного пинча/агента и др. Он шлет очтеты на ящик/гейт. Там Дамрай сделал банальную криптовку пароля base64 в первой и двойной base64 - во второй версии.
    Я говорю не о шифровании передаваемой информации, а о защите самого трояна.

  11. #10
    Junior Member Репутация
    Регистрация
    14.06.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от Maxim Посмотреть сообщение
    Там такая крипто-защита что Вам и не снилось!
    С этого момента поподробнее в каком конкретно малваре сильная криптозащита, не позволяющая анализом траффика найти адрес скрипта или ящих электронной почты?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от alabama Посмотреть сообщение
    С этого момента поподробнее в каком конкретно малваре сильная криптозащита, не позволяющая анализом траффика найти адрес скрипта или ящих электронной почты?
    Я говорю о защите от дизассемблирования и отладки.

  13. #12
    Junior Member Репутация
    Регистрация
    14.06.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от Maxim Посмотреть сообщение
    Я говорю о защите от дизассемблирования и отладки.
    А понял, крипторы действительно очень неплохие есть. Однако дизассемблирование нужно не всегда, а я бы даже сказал в редких случаях.

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    177
    Цитата Сообщение от SuperBrat Посмотреть сообщение
    Даже прямая отправка через локальный smtp-сервер не требует знания пароля от ящика.
    А SMTP - авторизация на сервере уже пережиток прошлого??

    Цитата Сообщение от SuperBrat Посмотреть сообщение
    А белое хакерство, когда "погибает" черный хакер, все равно преследуется по закону.
    Немножко не так. Тогда Цутому Шимомура, упрятавший Кевина Митника, тоже сидеть должен?
    Главное - соблюдать закон!

    Автору идеи: статьи УК ещё не отменены.
    И предлагать такие вещи на Форуме по безопасности - ...

  15. #14
    Junior Member Репутация
    Регистрация
    14.06.2007
    Сообщений
    11
    Вес репутации
    62
    Цитата Сообщение от Shark Посмотреть сообщение
    А SMTP - авторизация на сервере уже пережиток прошлого??
    Ну если автор имеет ввиду отправку писем через MAPI, то он прав.

    Цитата Сообщение от Shark Посмотреть сообщение
    Немножко не так. Тогда Цутому Шимомура, упрятавший Кевина Митника, тоже сидеть должен?
    Если делать вывод о действиях Шимомуры на основании фильма и книги, то он действительно должен сидеть. Но вероятно потому, что это не соответсвует действительности претензий к нему правоохранительные органы США не имеют.

Похожие темы

  1. Деактивация вымогателей-блокеров
    От Павел2011 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 23.09.2011, 16:54
  2. анализ AVZ
    От Egor555 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 13.09.2011, 12:22
  3. Анализ ПК
    От Bellhop в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.11.2010, 09:24
  4. Анализ системы
    От slimkeks в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 01.06.2010, 07:53
  5. Ответов: 13
    Последнее сообщение: 22.02.2009, 07:23

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00753 seconds with 19 queries