X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> И снова о конфиденциальности в сети, троян в Tor
jack
jack
Topic Starter сообщение 18.12.2013, 20:44; Ответить: jack
Сообщение #1


----------------
*******

Группа: Super Moderator
Сообщений: 7887
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 10831 раз
Репутация:   594  


Сегодня речь пойдёт о довольно редком, но крайне наглом трояне под красноречивым названием "ChewBacca", идентифицированный как Trojan.Win32.Fsysna.fej. Кроме того, что троян имеет довольно не типичный функционал он имеет ещё более необычный ареал обитания. Кстати, "Чубака" сильно отличается от обнаруженной неделю назад модификации трояна Zeus и вряд ли имеет к нему какое-либо отношение.

Технологии Tor предназначены для создания анонимного сетевого соединения с использованием шифрования, кроме защиты от прослушки, Tor так же защищает от механизмов анализа трафика, о которых я упоминал в прошлой статье (которую немного не верно интерпретировали). Потому появление трояна в такой сети довольно неожиданно.

Tor создаёт свой собственный домен верхнего уровня *.onion, который доступен только внутри сети Tor. Таким образом, расположение сервера и оператора скрыты. Тем не менее, внутренняя сеть Tor формируется довольно медленно, что приводит к тайм-аутам, во время которых и орудует "Чубака".


Троян "ChewBacca" реализован с помощью компилятора Free Pascal 2.7.1 и имеет формат исполняемых файлов PE32 и содержит вшитый клиент Tor 0.2.3.25, весит он приблизительно 5 МБ.

После запуска троян перемещает файл spoolsv.exe в папку C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ и запрашивает IP жертвы с помощью фришного сервиса ekiga.net, в в папку Temp помещается клиент tor.exe, который работает через порт 9050.
Далее включается режим кейлогер и информация о нажатых клавишах логгируется в system.log, лежащий в папке Temp, откуда сливается на sendlog.php, который лежит на сервере кулхацкера. Также троянец обходит все запущенные процессы и читает их память.


"Чубака" даже оборудован функцией анинстала: “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY” дабы не огорчать лишний раз свою жертву и не лишать её иллюзии безопасности.
Сервер злоумышленника поднят на программном обеспечении LAMP, состоящим из CentOS Linux, Apache 2.2.15, MySQL и PHP 5.3.3 (с PHPMyAdmin 2.11.11.3), доступ осуществляется через http://5jiXXXXXXXXXXgmb.onion


На данный момент в открытом доступе "чубаки" нет, в отличии от бушевавшего неделю назад Zeus'а, что может говорить о его тестировании или о случайном засвете НБА и очередном глобальном заговоре facepalm.gif О, Боже! Мы все умрём!
На этом всё, пишите письма smile.gif


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Официальный канал MaulTalk в Telegram


Поблагодарили: (5)
13
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anchous
anchous
сообщение 18.12.2013, 20:48; Ответить: anchous
Сообщение #2


Йеребатан Абырвалг
*******

Группа: Super Moderator
Сообщений: 8173
Регистрация: 12.4.2011
Из: СССР
Поблагодарили: 4630 раз
Репутация:   426  


(jack @ 18.12.2013, 20:44) *
или о случайном засвете НБА

в торе, после того как владельца Freedom Hosting повязали, уж сорри не помню как его звать- пошли гулять довольно интересные вещи- в том числе ифреймы внедряли на внутренние борды, которые обращались к внешним сервисам..
так что тема с попытками пропалить хитрованов, имеет место быть

особенно и тот факт что анонимуса повязали как школохакера ))


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jack
jack
Topic Starter сообщение 18.12.2013, 20:59; Ответить: jack
Сообщение #3


----------------
*******

Группа: Super Moderator
Сообщений: 7887
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 10831 раз
Репутация:   594  


anchous, я лично не проверял, но поговаривают, что Tor на 60% дотируется правительством США =)

Бюджет проекта Tor, оригинал
Так что я тоже не уверен в его анонимности smile.gif


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Официальный канал MaulTalk в Telegram


Поблагодарили: (4)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Portvein
Portvein
сообщение 9.2.2014, 16:42; Ответить: Portvein
Сообщение #4


клоновод
*


Группа: Banned
Сообщений: 20
Регистрация: 9.12.2013
Поблагодарили: 0 раз
Репутация:   -3  


Проще всего установить виртуалку VMware Workstation - установить прогу скрывающюю ip их щас развелось валом в нете + 2ip для просмотра и юзаем сайты какие хотим - анонимно!

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
клоновод
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Пост новостей и статей в соц.сети
11 GigArt 1659 Вчера, 9:01
автор: wanessa
Горячая тема (нет новых ответов) Анонимность в Сети от профессионалов
81 Insorg 29028 20.5.2018, 17:44
автор: Insorg
Открытая тема (нет новых ответов) Увеличение посещаемости сайта (яндекс, гугл, соц сети) - реальные люди
26 SANR 9403 17.5.2018, 19:31
автор: avega
Открытая тема (нет новых ответов) INXY - выделенные сервера, сети доставки контента (CDN), облачные решения
16 АдамГрир 4894 17.5.2018, 11:43
автор: Адам_Грир
Открытая тема (нет новых ответов) Продам скрипт тизерной сети adbox
9 KsaAZaks 2100 15.5.2018, 22:13
автор: KsaAZaks


 



RSS Текстовая версия Сейчас: 22.5.2018, 3:15
Дизайн