X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> И снова о конфиденциальности в сети, троян в Tor
jack
jack
Topic Starter сообщение 18.12.2013, 20:44; Ответить: jack
Сообщение #1


----------------
*******

Группа: Super Moderator
Сообщений: 7863
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 10734 раза
Репутация:   591  


Сегодня речь пойдёт о довольно редком, но крайне наглом трояне под красноречивым названием "ChewBacca", идентифицированный как Trojan.Win32.Fsysna.fej. Кроме того, что троян имеет довольно не типичный функционал он имеет ещё более необычный ареал обитания. Кстати, "Чубака" сильно отличается от обнаруженной неделю назад модификации трояна Zeus и вряд ли имеет к нему какое-либо отношение.

Технологии Tor предназначены для создания анонимного сетевого соединения с использованием шифрования, кроме защиты от прослушки, Tor так же защищает от механизмов анализа трафика, о которых я упоминал в прошлой статье (которую немного не верно интерпретировали). Потому появление трояна в такой сети довольно неожиданно.

Tor создаёт свой собственный домен верхнего уровня *.onion, который доступен только внутри сети Tor. Таким образом, расположение сервера и оператора скрыты. Тем не менее, внутренняя сеть Tor формируется довольно медленно, что приводит к тайм-аутам, во время которых и орудует "Чубака".


Троян "ChewBacca" реализован с помощью компилятора Free Pascal 2.7.1 и имеет формат исполняемых файлов PE32 и содержит вшитый клиент Tor 0.2.3.25, весит он приблизительно 5 МБ.

После запуска троян перемещает файл spoolsv.exe в папку C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ и запрашивает IP жертвы с помощью фришного сервиса ekiga.net, в в папку Temp помещается клиент tor.exe, который работает через порт 9050.
Далее включается режим кейлогер и информация о нажатых клавишах логгируется в system.log, лежащий в папке Temp, откуда сливается на sendlog.php, который лежит на сервере кулхацкера. Также троянец обходит все запущенные процессы и читает их память.


"Чубака" даже оборудован функцией анинстала: “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY” дабы не огорчать лишний раз свою жертву и не лишать её иллюзии безопасности.
Сервер злоумышленника поднят на программном обеспечении LAMP, состоящим из CentOS Linux, Apache 2.2.15, MySQL и PHP 5.3.3 (с PHPMyAdmin 2.11.11.3), доступ осуществляется через http://5jiXXXXXXXXXXgmb.onion


На данный момент в открытом доступе "чубаки" нет, в отличии от бушевавшего неделю назад Zeus'а, что может говорить о его тестировании или о случайном засвете НБА и очередном глобальном заговоре facepalm.gif О, Боже! Мы все умрём!
На этом всё, пишите письма smile.gif


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Официальный канал MaulTalk в Telegram


Поблагодарили: (5)
13
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anchous
anchous
сообщение 18.12.2013, 20:48; Ответить: anchous
Сообщение #2


Йеребатан Абырвалг
*******

Группа: Super Moderator
Сообщений: 8000
Регистрация: 12.4.2011
Из: СССР
Поблагодарили: 4520 раз
Репутация:   418  


(jack @ 18.12.2013, 20:44) *
или о случайном засвете НБА

в торе, после того как владельца Freedom Hosting повязали, уж сорри не помню как его звать- пошли гулять довольно интересные вещи- в том числе ифреймы внедряли на внутренние борды, которые обращались к внешним сервисам..
так что тема с попытками пропалить хитрованов, имеет место быть

особенно и тот факт что анонимуса повязали как школохакера ))


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jack
jack
Topic Starter сообщение 18.12.2013, 20:59; Ответить: jack
Сообщение #3


----------------
*******

Группа: Super Moderator
Сообщений: 7863
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 10734 раза
Репутация:   591  


anchous, я лично не проверял, но поговаривают, что Tor на 60% дотируется правительством США =)

Бюджет проекта Tor, оригинал
Так что я тоже не уверен в его анонимности smile.gif


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Официальный канал MaulTalk в Telegram


Поблагодарили: (4)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Portvein
Portvein
сообщение 9.2.2014, 16:42; Ответить: Portvein
Сообщение #4


клоновод
*


Группа: Banned
Сообщений: 20
Регистрация: 9.12.2013
Поблагодарили: 0 раз
Репутация:   -3  


Проще всего установить виртуалку VMware Workstation - установить прогу скрывающюю ip их щас развелось валом в нете + 2ip для просмотра и юзаем сайты какие хотим - анонимно!


--------------------
клоновод
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыЖивое продвижение групп в соц. сети Одноклассники
Качественно, быстро, надежно.
146 Inlogix 35016 Вчера, 3:00
автор: Inlogix
Открытая тема (нет новых ответов) Увеличение посещаемости сайта (яндекс, гугл, соц сети) - реальные люди
16 SANR 1375 13.12.2017, 13:03
автор: kukla
Открытая тема (нет новых ответов) Куплю блог о SEO, продвижение, заработке в сети и т.д.
посещаемость от 300 хостов/сутки
7 airman 2363 28.11.2017, 23:46
автор: airman
Горячая тема (нет новых ответов) Анонимность в Сети от профессионалов
75 Insorg 26886 26.11.2017, 20:46
автор: Mikki
Горячая тема (нет новых ответов) Професcиональное продвижение в социальной сети Vkontakte. 100% чистоты.
42 dubrowskii 9459 4.11.2017, 12:50
автор: gretskov


 



RSS Текстовая версия Сейчас: 16.12.2017, 15:17
Дизайн