Изучение уязвимостей электронных систем.
 
key programming immo tools emergency start device программаторы ключа заводилки Кодграббер штатных охранных систем, toyota, lexus, subaru.

Вернуться   Изучение уязвимостей электронных систем > В помощь фрикеру > Безопасность

Безопасность Личная безопасность в сети. Шифрование, прокси и тд.

Ответ
 
Опции темы
Старый 14.12.2011, 18:20   #1
ubla
гость
 
Аватар для ubla
 
Регистрация: 14.08.2011
Сообщений: 242
Поблагодарил: 58
Поблагодарили 166 раз в 77 сообщениях
ubla стоит на развилке
По умолчанию трояны

интересует покупка не где не засвеченного трояна или его разработка !
кто в теме подскажите у кого ?
сам я не в теме но интересует вникаю потихоньку


В радости друзья узнают нас, в несчастье мы узнаем их.

Дружба должна быть прочною штукою, способною пережить все перемены температуры и все толчки той ухабистой дороги, по которой совершают свое жизненное путешествие дельные и порядочные люди.
ubla вне форума   Ответить с цитированием
Старый 16.01.2012, 17:35   #2
Jocker
случайно влез
 
Аватар для Jocker
 
Регистрация: 16.01.2012
Сообщений: 49
Поблагодарил: 13
Поблагодарили 3 раз в 3 сообщениях
Jocker стоит на развилке
По умолчанию

Если только самим писать.трой под Win 32.Особо нечего нового кроме таких дивайсов как картоприемник.И думаю замудренная передача данных явно не открытый TCP/IP.Что то наверняка свое.Не засвеченный вирус этого который не попался.Ибо антивирусы в основном сигнатурные.По этому криптованные антивирусы даже 1000 раз перекриптованные будут спалены (Возможно не сразу).По одной простой причине они делают одно и то же точно так же.Единственный на мой взгляд вариант работать с готовым кодом хотя бы перекинуть на другой язык + менять серьезно алгоритм работы.Да и я не думаю что они работают по открытым каналам связи.Так что банального дамп + пин на мыло не выйдет Нужно знать архетектуру сети как общаются они с датацентром.
Нужно калупать атм курить как он работает.Или искать тех кто уже вкурсе.
Jocker вне форума   Ответить с цитированием
Старый 16.01.2012, 17:45   #3
Equitatus
Заблокирован
 
Аватар для Equitatus
 
Регистрация: 08.12.2010
Адрес: www.equitatus.narod.ru
Сообщений: 342
Поблагодарил: 11
Поблагодарили 101 раз в 60 сообщениях
Equitatus стоит на развилке
По умолчанию

а как насчет трояна из тимвивера , кто скажет по нему ?
Equitatus вне форума   Ответить с цитированием
Старый 16.01.2012, 18:07   #4
Jocker
случайно влез
 
Аватар для Jocker
 
Регистрация: 16.01.2012
Сообщений: 49
Поблагодарил: 13
Поблагодарили 3 раз в 3 сообщениях
Jocker стоит на развилке
По умолчанию

ну насколько знаю это не троян и да же не вирус.Тож самое что радмин засунуть в атм ))) Единственная прелесть насколько я увидел что нет проблемы с подключением через инет.То есть тот же радмин мы можем использовать зная настоящий ip машины в сети в основном используется внутри корпоративных локальных сетях где ip не изменяется.При выходе в интернет ip во внутренней сети провайдера один в интернете он меняется например на динамический ( свободный в данный момент).То есть у нас заражена машина 1.1.1.1 в локальной сети в интернете эта машина уже имеет адрес 2.2.2.2.И мы не можем к ней уже подключиться по одной простой причине мы не знаем ее ip (Это самый банальный вариант и объяснено на пальцах без учета того что у провайдера могут быть закрыты какие то порты и оочень чего еще).В случае teamviewer у нас есть id номер наш.мы в водим id и пароль в панели управления и видим наши машинки из любого места.думаю реализовано это так. Софт на машине с переодичностью в N минут стучится на сервер teamviewer и образно сообщает id 111 ip адрес 2.2.2.2. Мы запускаем клиентскую часть вводим id пароль. программка стучится на сервер говорит id 111 запрашивает ip зараженных машин серверная часть отправляет нам ip адреса машин которые заражены дальше мы уже конектимся непосредственно к ним.
Jocker вне форума   Ответить с цитированием
Старый 18.01.2012, 08:49   #5
Annyusin
участник
 
Аватар для Annyusin
 
Регистрация: 11.01.2012
Сообщений: 389
Поблагодарил: 177
Поблагодарили 90 раз в 47 сообщениях
Annyusin стоит на развилке
По умолчанию

Описание пары вирусняков которые используют белорусские комитетчики:

URF Stealer
Это своего рода троян. Чаще всего опознаётся антивирусами под именами: "Trojan:Win32/Anomaly" (Microsoft), "Trojan.Khil.23905" (VBA32), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG).

Размер вируса равен 52,736 байт, а его MD5: 71f950f31c15023c549ef4b33c2bf1e0

Принцип работы слегка отличается от предыдущего трояна. Этот собирает данные о паролях из кеша ваших программ, таких как: Google Talk, Internet Explorer, Opera, Total Commander, Firefox, Chrome, FileZilla, Miranda, Pidgin, The Bat!, Mail.ru Agent, QIP, ICQ, MSN Messenger и д.р. Кроме того Stealer сохраняет основную информацию о вашей системе. Все украденные данные помещаются в ufr_files, а эта папка создаётся в той же директории где и был запущен вирус. После чего отправляет данные на почтовый ящик владельца вируса и самоуничтожается. В системе не где не оставляет вредных следов, так что и особая чистка не требуется.

Однако определить: был ли не званый гость — можно.
Об этом свидетельствует: папка utr_files в которой лежат *.ds, *.dat, *.bin; а также prefech-файл, который находится в :\Windows\Prefetch\ABGREYD.EXE-*.pf.

Если этот вирус был у вас, то не забудьте сменить все пароли, которые у вас были сохранены в кэше.

RMS Trojan
Как не сложно догадаться по названию — это опять троян. Как и выше названные вирусы, этот тоже плохо определяется антивирусом. Дело в том, что RMS использует в своём коде компоненты, программ, которые являются вполне легальными. Однако, иногда антивирусы могут определить инсталлятор, как: "Worm.Autorun-8201" (ClamAV), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32), "Trojan.Generic.6178206" (Gdata).

Размер троянца 2,782,938 байт, а MD5: 3299b4e65c7c1152140be319827d6e04.

При активации вирус создаёт скрытую папку :\Windows\system32\catroot3 и копирует туда различные компоненты для удалённого управления компьютером. После чего правит системный файрвол. Затем создаёт файл :\Windows\system32\de.exe, который тоже скрытый. В конце запускает свою программу по удалённому управлению и, довольный свой работой, умирает (удаляется).

Наличие вируса легко определить по двум новым процессам: rfusclient.exe или rutserv.exe. Так же если вы найдёте скрытую папку :\Windows\system32\catroot3 или файл :\Windows\system32\de.exe, то значит за вами следят. А ещё вирус создаёт новый сервис с названием TektonIT — R-Server.

Управление заражённым компьютером происходит по особому протоколу (в основе лежит стандартный TCP), используя сервера от компании Teton-IT, которые предоставляются бесплатно.

Вирус отличается тем, что сам создаёт файл, через который его можно полностью удалить — ndows\system32\de.exe. Запуск этого файла полностью очистит вашу систему, включая записи реестра, от вредоносной программы.

После удаления вируса, как обычно, необходимо сменить все свои пароли. Однако этого мало. Так как компьютер находился полностью под контролем хакера, то, скорее всего, он заразил вас ещё 10-ком вирусов. Поэтому постарайтесь, как можно быстрее переустановить систему... лучше всего с форматированием.
Annyusin вне форума   Ответить с цитированием
Старый 06.03.2012, 13:06   #6
gadji
Заблокирован
 
Аватар для gadji
 
Регистрация: 12.01.2012
Сообщений: 85
Поблагодарил: 51
Поблагодарили 10 раз в 7 сообщениях
gadji стоит на развилке
По умолчанию

UFR_Stealer на счет этой программы кто че может сказать ?

---------- Post added at 13:06 ---------- Previous post was at 13:05 ----------

она работает все прекрасно
gadji вне форума   Ответить с цитированием
Старый 06.03.2012, 13:32   #7
shalinn
случайно влез
 
Регистрация: 31.01.2012
Сообщений: 2
Поблагодарил: 0
Поблагодарили 0 раз в 0 сообщениях
shalinn стоит на развилке
По умолчанию

UFR_Stealer отличная программа, давно ей пользуюсь с того момента как она появилась
shalinn вне форума   Ответить с цитированием
Старый 19.04.2012, 22:13   #8
Stix
случайно влез
 
Регистрация: 19.04.2012
Сообщений: 5
Поблагодарил: 1
Поблагодарили 0 раз в 0 сообщениях
Stix стоит на развилке
По умолчанию

А как ты трояна будешь жертве закидывать? Это тоже важно!
Stix вне форума   Ответить с цитированием
Старый 18.07.2012, 04:15   #9
Bek
случайно влез
 
Аватар для Bek
 
Регистрация: 13.07.2012
Сообщений: 31
Поблагодарил: 12
Поблагодарили 0 раз в 0 сообщениях
Bek стоит на развилке
По умолчанию

Цитата:
Сообщение от Annyusin Посмотреть сообщение
Описание пары вирусняков которые используют белорусские комитетчики:

URF Stealer
Это своего рода троян. Чаще всего опознаётся антивирусами под именами: "Trojan:Win32/Anomaly" (Microsoft), "Trojan.Khil.23905" (VBA32), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG).

Размер вируса равен 52,736 байт, а его MD5: 71f950f31c15023c549ef4b33c2bf1e0

Принцип работы слегка отличается от предыдущего трояна. Этот собирает данные о паролях из кеша ваших программ, таких как: Google Talk, Internet Explorer, Opera, Total Commander, Firefox, Chrome, FileZilla, Miranda, Pidgin, The Bat!, Mail.ru Agent, QIP, ICQ, MSN Messenger и д.р. Кроме того Stealer сохраняет основную информацию о вашей системе. Все украденные данные помещаются в ufr_files, а эта папка создаётся в той же директории где и был запущен вирус. После чего отправляет данные на почтовый ящик владельца вируса и самоуничтожается. В системе не где не оставляет вредных следов, так что и особая чистка не требуется.

Однако определить: был ли не званый гость — можно.
Об этом свидетельствует: папка utr_files в которой лежат *.ds, *.dat, *.bin; а также prefech-файл, который находится в :\Windows\Prefetch\ABGREYD.EXE-*.pf.

Если этот вирус был у вас, то не забудьте сменить все пароли, которые у вас были сохранены в кэше.

RMS Trojan
Как не сложно догадаться по названию — это опять троян. Как и выше названные вирусы, этот тоже плохо определяется антивирусом. Дело в том, что RMS использует в своём коде компоненты, программ, которые являются вполне легальными. Однако, иногда антивирусы могут определить инсталлятор, как: "Worm.Autorun-8201" (ClamAV), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32), "Trojan.Generic.6178206" (Gdata).

Размер троянца 2,782,938 байт, а MD5: 3299b4e65c7c1152140be319827d6e04.

При активации вирус создаёт скрытую папку :\Windows\system32\catroot3 и копирует туда различные компоненты для удалённого управления компьютером. После чего правит системный файрвол. Затем создаёт файл :\Windows\system32\de.exe, который тоже скрытый. В конце запускает свою программу по удалённому управлению и, довольный свой работой, умирает (удаляется).

Наличие вируса легко определить по двум новым процессам: rfusclient.exe или rutserv.exe. Так же если вы найдёте скрытую папку :\Windows\system32\catroot3 или файл :\Windows\system32\de.exe, то значит за вами следят. А ещё вирус создаёт новый сервис с названием TektonIT — R-Server.

Управление заражённым компьютером происходит по особому протоколу (в основе лежит стандартный TCP), используя сервера от компании Teton-IT, которые предоставляются бесплатно.

Вирус отличается тем, что сам создаёт файл, через который его можно полностью удалить — ndows\system32\de.exe. Запуск этого файла полностью очистит вашу систему, включая записи реестра, от вредоносной программы.

После удаления вируса, как обычно, необходимо сменить все свои пароли. Однако этого мало. Так как компьютер находился полностью под контролем хакера, то, скорее всего, он заразил вас ещё 10-ком вирусов. Поэтому постарайтесь, как можно быстрее переустановить систему... лучше всего с форматированием.

Спс автору, мазёво внятно объяснил!
Bek вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Трояны test Сотовые системы 14 14.08.2007 17:03


Текущее время: 18:00. Часовой пояс GMT +4.


Перевод: zCarot