- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
На одном из интереснейших блогов, где автор публикует обзоры разнобразноого вредоносного программного обеспечения, была опубликована статья, о трояне, ворующим WM ,и "управляющимся" с помощью ICQ.
Многим будет полезно узнать, дабы лишний раз обезопасить себя пободного.Здесь уже блокировка по IP не спасет.
И еще, личный комментарий:В таких случая спасет проактивная защита антивируса и фаерволла (Outpost к примеру), поэтому лишний раз не давайте доступ к OLE объектам (в фаерволле) и к процессам в антивирусе.
Оригинал здесь.
Автор: NeoN
Статья частично отредактирована мной (добавлены пояснения к специфическим терминам) на на более понятный для просто обывателя язык.
по себе он не слишком интересен, если бы не новый способ управления, а именно
с помощью icq.
1. Дроппер
(часть кода, отвечающая за проникновение в систему и сокрытия в ней)
Дроппер изначально непакованный, размером в 26 кб. Строки частично
"пошифрованы", а точнее разбиты на части и склеиваются во время исполнения.
Дроппер скидывает в системную папку два файла utf8.dll и unicode.dll, для
которых выставляются даты соответствующие установке системы. Затем дроппер
прописывает utf8.dll в
SOFTWARE\MicrosoftWindows\CurrentVersion\ShellService\Object\DelayLoad
(это запись в реестре, посмотреть ее можно с помощью regedit.exe)
под GUID {E6FB5E20-DE35-11CF-9C87-00AA005127ED}.
Файлы utf8.dll и unicode.dll размером соответсвенно 4 кб и 18.5 кб. Последний
в добавок еще и упакован. Утф8 выполняет функцию лоадера для юникод.длл.
2. Граббер
(часть кода отвечающая непосредственно за сам процесс кражи средств, паролей и т.д)
Unicode.dll будучи загруженный в эксплорер (explorer.exe), ставит виндовые хуки для
распространения себя любимой по процессам. Таким образом проникая и в
webmoney.exe. Проникнув в процесс вебмани, длл выставляет хуки на GetWindowText
и SetWindowText.
Троян не заморачивается с автозаливами и прочим бредом, а просто ждет когда
юзверь решит переслать кому-нить немного деньжат, а когда это случится - хуки
на GetWindowText "случайно" вернут не тот wmid, куда и отправлятся деньжатки и
слегка не ту сумму которую хотелось бы.
Даже если бабло переводится с кодом протекции, то и они замечательно
записываются дллкой, а затем и отправляются хозяину. Отправка идет на обычный
хттп хост, в виде гет запроса. Чуваки так обленились что юзают просто
URLDownloadToFile для запроса в стату.
После успешного перевода денег, в реестре ставится отметка, и при следующем
запуске вебманей система виснет намертво, так как для исполняемого потока
выставляется приоритет реал-тайм и прога уходит в вечный цикл.
Отсюда конечно вопрос, где же тут управление по icq? Управление по аське идет
как получение настроек, а именно - того хттп хоста, куда сливать инфу о кодах
протекции, а также минимальную сумму для грабинга. Помимо этого можно
загрузить любой ехе коммандной "load:". Реализация сего проста до безобразия:
бот заходит на
hттp://www.icq.com/people/full_details_show.php?uin=373496601
где написана замечательная строка, заключенная в . Бот её грабит,
расшифровывает и парсит. В случае закрытия хттп хоста для отстука, например,
бот получит с сервака асику новый хост и все будет пучком.
Приемущество управления - можно не боятся за то что хост закроют. Недостатки
очевидны - icq.com будет боротся с такими вот левыми номерками, и потерять номер
будет аналогично тому что потерять хост для отстука для обычного бота.
Итого, пока не спалят - оригинально, но суть та же самая. Ну а у своих
воровать не красиво :)
и чаво? ставьте антивири и фаервол)
даж на чистой висте всеми так необузданной и любимой можно за секунду лишится ключей посетив 1 сайт.
Чтобы понять как ездит машина, надо знать как она работает.
Неужели под нее уже написали трояны? =)
Сервис ICQ тут вообще не причем, с помощью него осуществляется управление трояном не более.
Сервис ICQ тут вообще не причем, с помощью него осуществляется управление трояном не более.
согласен. ICQ можно заменить на IRC или любой другой протокол
Да опасное это дело
В моей системе, на первом же этапи, дропер и сдуается т.к. без моего разрешения ни одна программа реестр не редактирует ))))
Взлом WebMoney - это не миф, а суровая реальность. Обезопасить себя на 100% нельзя, даже если ты эксперт по безопасности. Всегда существует риск подхватить вирус через еще не известную дыру в операционной системе или браузере. Если от потери оперативных данных на винчестере спасает резервирование, от раскрытия конфиденциальных данных - физическое отключение интранета от Сети, то от кражи электронных денег не спасает ничто!