И снова о конфиденциальности в сети

Сообщение сайта

(Сообщение закроется через 3 секунды)

Здравствуйте, гость (

| Вход | Регистрация )

SEO форум MaulTalk.com > Разное > IT сфера: новости и статьи

И снова о конфиденциальности в сети, троян в Tor

Опции

jack

Topic Starter

18.12.2013, 20:44; Ответить: jack

Сообщение #1

----------------

Группа: Administrator
Сообщений: 8177
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 11555 раз
Репутация:

615

Сегодня речь пойдёт о довольно редком, но крайне наглом трояне под красноречивым названием "ChewBacca", идентифицированный как Trojan.Win32.Fsysna.fej. Кроме того, что троян имеет довольно не типичный функционал он имеет ещё более необычный ареал обитания. Кстати, "Чубака" сильно отличается от обнаруженной неделю назад модификации трояна Zeus и вряд ли имеет к нему какое-либо отношение.

Технологии Tor предназначены для создания анонимного сетевого соединения с использованием шифрования, кроме защиты от прослушки, Tor так же защищает от механизмов анализа трафика, о которых я упоминал в прошлой статье (которую немного не верно интерпретировали). Потому появление трояна в такой сети довольно неожиданно.

Tor создаёт свой собственный домен верхнего уровня *.onion, который доступен только внутри сети Tor. Таким образом, расположение сервера и оператора скрыты. Тем не менее, внутренняя сеть Tor формируется довольно медленно, что приводит к тайм-аутам, во время которых и орудует "Чубака".

Троян "ChewBacca" реализован с помощью компилятора Free Pascal 2.7.1 и имеет формат исполняемых файлов PE32 и содержит вшитый клиент Tor 0.2.3.25, весит он приблизительно 5 МБ.

После запуска троян перемещает файл spoolsv.exe в папку C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ и запрашивает IP жертвы с помощью фришного сервиса ekiga.net, в в папку Temp помещается клиент tor.exe, который работает через порт 9050.
Далее включается режим кейлогер и информация о нажатых клавишах логгируется в system.log, лежащий в папке Temp, откуда сливается на sendlog.php, который лежит на сервере кулхацкера. Также троянец обходит все запущенные процессы и читает их память.

"Чубака" даже оборудован функцией анинстала: “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY” дабы не огорчать лишний раз свою жертву и не лишать её иллюзии безопасности.
Сервер злоумышленника поднят на программном обеспечении LAMP, состоящим из CentOS Linux, Apache 2.2.15, MySQL и PHP 5.3.3 (с PHPMyAdmin 2.11.11.3), доступ осуществляется через http://5jiXXXXXXXXXXgmb.onion

На данный момент в открытом доступе "чубаки" нет, в отличии от бушевавшего неделю назад Zeus'а, что может говорить о его тестировании или о случайном засвете НБА и очередном глобальном заговоре

О, Боже! Мы все умрём!
На этом всё, пишите письма

--------------------

Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Поблагодарили: (5)

anchous, Lisel85, propeople, TalanArtem, titris

Ответить с цитированием данного сообщения

anchous anchous 18.12.2013, 20:48; Сообщений: 8734 Поблагодарили: 5016 раз Репутация: 448 Просмотр профиля	18.12.2013, 20:48; Ответить: anchous Сообщение #2
Йеребатан Абырвалг Группа: Super Moderator Сообщений: 8734 Регистрация: 12.4.2011 Из: СССР Поблагодарили: 5016 раз Репутация: 448	(jack @ 18.12.2013, 20:44) или о случайном засвете НБА в торе, после того как владельца Freedom Hosting повязали, уж сорри не помню как его звать- пошли гулять довольно интересные вещи- в том числе ифреймы внедряли на внутренние борды, которые обращались к внешним сервисам.. так что тема с попытками пропалить хитрованов, имеет место быть особенно и тот факт что анонимуса повязали как школохакера )) -------------------- Выделенные и разделяемые прокси России, Европы и США Поблагодарили: (1) jack

jack Topic Starter jackTopic Starter 18.12.2013, 20:59; Сообщений: 8177 Поблагодарили: 11555 раз Репутация: 615 Просмотр профиля	Topic Starter 18.12.2013, 20:59; Ответить: jack Сообщение #3
---------------- Группа: Administrator Сообщений: 8177 Регистрация: 22.3.2009 Из: глины Поблагодарили: 11555 раз Репутация: 615	anchous, я лично не проверял, но поговаривают, что Tor на 60% дотируется правительством США =) Бюджет проекта Tor, оригинал Так что я тоже не уверен в его анонимности -------------------- Stimul-Cash и RX-Partners - лидеры фарма бизнеса! Поблагодарили: (4) anchous, duoseo, propeople, TalanArtem

Portvein

9.2.2014, 16:42; Ответить: Portvein

Сообщение #4

клоновод

Группа: Banned
Сообщений: 20
Регистрация: 9.12.2013
Поблагодарили: 0 раз
Репутация:

-3

Проще всего установить виртуалку VMware Workstation - установить прогу скрывающюю ip их щас развелось валом в нете + 2ip для просмотра и юзаем сайты какие хотим - анонимно!

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой

или обратитесь к любому из модераторов.

--------------------

клоновод

« Предыдущая тема · IT сфера: новости и статьи · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
GogetTop.net - сервис аренды ссылок с сети PBN адалт тьюбо	1	Crimean	1433	11.4.2024, 10:05 автор: Crimean
Нужно сделать репост статей в соц сети	1	HavingingWorld	2475	27.2.2024, 2:15 автор: AndrePro
Требуются работники в социальной сети Вконтакте	1	Дмитрий1981	914	2.2.2024, 1:07 автор: Vikbit
0:00 / 19:46 TermiDroidNetwork накрутка ПФ Яндекс/Google в сети обмена визитами	1	waterworld	1176	31.1.2024, 14:25 автор: waterworld
Undetectable - антидетект браузер для быстрой и безопасной работы в сети.	24	Undetectable Browser	10939	27.3.2023, 21:11 автор: Undetectable Browser

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 19.4.2024, 3:03

Дизайн