PlayTruckSims: Грузовые симуляторы, Дальнобойщики, Euro Truck Simulator 2, American Truck Simulator

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » PlayTruckSims: Грузовые симуляторы, Дальнобойщики, Euro Truck Simulator 2, American Truck Simulator » Беседка » Хакер-провокатор распространяет троян по ICQХакер-провокатор распростр


Хакер-провокатор распространяет троян по ICQХакер-провокатор распростр

Сообщений 1 страница 17 из 17

1

"Лаборатория Касперского" предупредила пользователей об обнаружении вредоносных спам-рассылок, которые распространяются через систему обмена мгновенными сообщениями. Несколько дней назад многие пользователи ICQ получили письмо следующего содержания:

"Здравствуйте я собираю народ для проведении Ддос атаки на Российские сайты сайты если вы желаете мне помочь вот я выложу программу http://XXX. su/load/0-0-0-1-20 для проведения ддос атак! Программа может палиться антивирусом если вы хотите помоч скачайте и свяжитесь я скажу как ее настроить заранее спасибо!"

(орфография автора сохранена)

На самом деле никаких DDoS-атак автор рассылок не планировал - по указанной ссылке специалисты "Лаборатории Касперского" обнаружили троянскую программу Trojan-PSW.Win32.LdPinch.bgj. Эта вредоносная программа предназначена для кражи всевозможных паролей с зараженных ПК и их отправки через Интернет. После запуска программа собирает конфиденциальные сведения (логины и пароли доступа к электронной почте, ICQ и другим интернет-службам), отсылает по определенному адресу и затем сама себя удаляет.

Специалисты "Лаборатории Касперского" отмечают интересную особенность этой спам-рассылки – мнимый хакер предлагает получателям принять участие в противозаконных действиях, а в результате, человек, который поддался на эту провокацию и решил "внести свой вклад" в DDoS-атаку на российские сайты, сам становится жертвой злоумышленника.

По мнению вирусных аналитиков "Лаборатории Касперского", предупреждение о возможности обнаружения загружаемой программы антивирусом предназначено для того, чтобы недальновидный пользователь сам отключил систему защиты своего ПК.

Интересно, что первый вариант Trojan-PSW.Win32.LdPinch был обнаружен еще в 2003 году и с тех пор "Лаборатория Касперского" находит по 3-5 его новых версий ежедневно. Такое количество модификаций вирусные аналитики объясняют тем, что исходный код данной программы некогда попал в Интернет.

Семейство Trojan-PSW.Win32.LdPinch далеко не в первый раз распространяется через массовые рассылки - при этом каждый раз используются новые методы социальной инженерии.

Вот так вот...

0

2

Да уж, умнеют эти хакеры. На какую нибудь тупую объяву типа "скачай тут кучу халявной порнухи" народ уже видимо не клюет.

0

3

Ну каспер гонит, это ещё в прошлом году было новизной, щас антиспам такое блокирует.

0

4

ДА реально было такое несколько дней назад. Я тогда антивирус забыл включить. В аську залез а там ссылка, вовремя предупредили чтоб не нажимал.

0

5

Tommi такие рассылки и проводятся спамерами, у человека в крови должно быть, не сувать нос, куда не надо. closed

0

6

openнах

0

7

DiMONZ написал(а):

Ну каспер гонит, это ещё в прошлом году было новизной, щас антиспам такое блокирует.

ты полностью прочти. ДДос знаешь что такое? все ддос проги палятся антивирусником. Чтобы её запустить надо антивирус отключить.

По мнению вирусных аналитиков "Лаборатории Касперского", предупреждение о возможности обнаружения загружаемой программы антивирусом предназначено для того, чтобы недальновидный пользователь сам отключил систему защиты своего ПК.

Также и с фаерволом.

Кстати толку от фаервола может быть мало. Пинч он и сам себя в доверенный список может добавить. Пинч распространяется не только по аське но и просто на форумах могут засунуть в программу. Внимание многие антивирусники его не видят, Касперсий его видет. Проверено!

0

8

И какая же версия пинча? Нод, дрвеб, аваст, майкрософт антивирус, каспер например один из последний модификаций уже палят.
Дай мне последний.

RuiG написал(а):

ты полностью прочти. ДДос знаешь что такое? все ддос проги палятся антивирусником. Чтобы её запустить надо антивирус отключить.

Я имею ввиду, нех на СИ так надеятся. Про ддос знаю, это уже любой антивир палит, причём много лет уже.

0

9

3я последняя. например нод32 совсем непалит, я его даже им отсылал его а и пох.
ддос проги всегда палились.

0

10

RuiG Да и [ЦЕНЗУРА] ссылки открывать? Это каким тупарём нада быть, чтобы тебе бот прислал ссылку, а ты бы зашёл на неё...Я один раз зашёл :lol:

0

11

Кстати вот еще вспомнил- не скачивайте файл gerord.exe. Он как минимум ворует пароль аськи

0

12

Crusader А если его переименуют в god.exe ?  :lol:

0

13

DiMONZ написал(а):

RuiG Да и [ЦЕНЗУРА] ссылки открывать? Это каким тупарём нада быть, чтобы тебе бот прислал ссылку, а ты бы зашёл на неё...Я один раз зашёл :lol:

почему ты думаешь что он только по асе распространяется?? Он не только пасс из аси ворует но из различных программ.

Pinch - это троянская программа, написанная на языке Ассемблера (masm), обладающая маленьким размером (около 20кб) и потрясающими возможностями.
Среди возможностей: похищение паролей от программ (im, mail, ftp, browser, etc. список поддерживаемых программ в разделе "ВОЗМОЖНОСТИ").
Так же есть функции удаленного контроля, доступ к файловой системе, socks5, proxy, отправки скриншота, кейлоггер и другое.

Все полученные пароли высылаются одним файлом и затем расшифровываются специальной программой(Parser'ом).

Для работы не требуется специальных знаний, все предельно просто.

Получает данные из:

- ICQ 99B-2002a
- ICQ 2003/Lite/5/Rambler
- Miranda IM
- TRILLIAN
- &RQ, RnQ, The Rat
- QIP
- GAIM
- MSN & Live Messenger

- The Bat!
- MS Office Outlook
- Mail.Ru Agent
- Becky
- Eudora
- Mozilla Thunderbird
- Gmail Notifier

- Opera
- Protected Storage(IE,Outlook Express)
- Mozilla Browser
- Mozilla Firefox

- RAS
- E-DIALER
- VDialer

- FAR
- Windows/Total Comander
- CuteFTP
- WS FTP
- FileZilla
- Flash FXP
- Smart FTP
- Coffee Cup FTP
- FTP Commander Pro

- RapGet
- USDownloader

- RDP (Windows Remote Desktop(mstsc))

Полученные зашифрованные пароли отсылаются в виде файла с названием Pass.bin или другим по желанию. Отчеты могут автоматически сжиматься, что уменьшает размер отчета в 3-4 раза, но увеличивает размер трояна на 3кб

Существует 3 варианта отсылки отчета:
- SMTP(по email), поддерживает SMTP авторизацию, для отсылки с авторизацией требуется емайл с паролем
- HTTP(на php скрипт), гейт имеет 3 режима: 1)на email; 2)сохранить в файл на сервере; 3)оба варианта.
- FTP - Upload файлов на FTP сервер (например "tKMFltdEsA_out.bin"), требуется логин и пароль к FTP

Есть возможность сохранять в файл:
- FILE метод просто сохраняет файл отчета с заданным именем на локальном диске.

Присутствует опция "Высылать отчет по дефолтным настройкам Outlook Express", она позволяет высылать даже в локалке, когда нет доступа к внешнему SMTP серверу.

Криптовка отчетов:
Опция "Crypt report" не позволит чужим прочитать ваши отчеты. Они шифруются RC6 алгоритмом, ключом является md5 хеш от заданного в билдере пароля.
Пароль указывается в парсере при расшифровке. Для этой опции требуется включенный "Pack report".

Имеются следующие сетевые функции:
- Socks5 c настраиваемым или случайным портом
- HTTP proxy c настраиваемым или случайным портом
- FTP с авторизацией
- консоль(cmd shell) открывает шелл на выбранном порту, управление через телнет(telnet.exe) или альтернативные проги.

Данные по зараженному компу(IP,socks,proxy,ftp и cmd порты, имя компа, ID) при желании отправляются на скрипт статистики.
В скрипте видны компы online, возможность подключения к ним, валидность соксов и прочие полезные фичи. Так же скрипт способен
выдавать команды зараженным компам, например скачку и запуск файла.

Из других функций:
- Смена иконки
- Возможность указать информацию файла(File Ver.)
- Установка своей стартовой и/или поисковой страницы в IE(start page, search page)
- Создание своих IE Favorits (букмарки(избранное))
- Убийство процессов и сервисов по заданному списку
- Записи в файл hosts винды(например при переходе на mail.ru "резолвится" localhost)
- Очистка кеша IE
- Обновление самого себя с заданного URL.
- Установка времени создания файла такой как в kernel32.dll

Настройка режимов автозагрузки:
- Стандартная(копирование в папку винды и создание ключа в SOFTWAREMicrosoftWindowsCurrentVersionRun) (классический вариант)
- Service регистрация пинча как сервис винды (не позволяет выдирать все пароли, так как имеем низкие права)
- Скрытое место в реестре, не видимое чреез msconfig (наиболее оптимальный вариант)

Все имена файлов, ключей, сервисов можно изменять по желанию.

Есть дополнительные настройки для запуска.
- Запускать только в онлайн
- Запускать после определенного времени
- Запускать после перезагрузки
- Запускать после остановки сервисов и процессов
- Спячка перед запуском

Обход Антивирусов и Фаерволов:
- Добавление в список "доверенных" в Windows XP SP2 FireWall
- Обход Agnitum Outpost FireWall, путем нажатия на кнопку "Разрешить" или "Allow" (кроме 4й версии)
- Обход проактивной защиты KIS, KAV 2006, Anti-Hacker нажатие на кнопку "Разрешить"

Все вводимые данные, а так же сам пинч шифруется случайно сгенерированными ключами.

На выбор можно обработать пинч 4мя пакерами: MEW, UPX, UPACK, FSG

Присутствуют также функции:

Увеличить размер пинча на заданное число килобайт.
Не запускаться после определенного количества дней.

Из шпионских функций имеется:
Кейлоггер(клавиатурный шпион). Логи(отчеты) присылаются в txt формате, размер после которого отсылать задается вручную, по умолчанию 5кб.

IE grab - перехват данных в формах браузера Internet Explorer. Так же задается имя файла и размер лога.

Снятие и отсылка ScreenShot'a экрана(при запуске пинча).

Функция Downloader (скачивает иили запускает Ваш файл на компьютере жертвы), обходя фаерволы.
Url и путь для скачки задается Вами.

Дополнительные функции для Downloader'a:
- Добавлять UID в конце урла (для учета в статистике)
- Скачивать файлы по списку на сервере

Условия:
- Билдер не продается
- Цена билда(компиляции) 30$
- Обновления и "чистые" компиляции 5$
- В обновлениях исключены смены хостов, емайлов для приема отчетов
- Перед оплатой всегда уточняйте цены

- Билд продается строго в закриптованном и запакованном виде.

0

14

DiMONZ написал(а):

А если его переименуют в god.exe

Тогда- триндец :D Просто этот файл может прийти не от какого нибудь левого чела а от твоего контакта. Надеюсь не надо объяснять как такое происходит. А учитывая что все там поставлено на поток переименовывать они ниче не станут. Мораль такая- перед приемом файла переспросите у человека лишний раз собираеца ли он что-то отправить

0

15

Crusader Такие как правило сразу у меня в игнор попадают.
RuiG Ну вот написали мне, скачай Д3, и ссылка, файл 30 кб, я конечно же подумаю что это пережатая д3? вообще для таких мелких файлов есть онлайн проверка, сразу 20 антивирусами, например

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

. Так что как распространяется пинч меня не интересует, даже пусть будет залит на редирект.

0

16

DiMONZ
например crack для игры, туда засунуть можно))

0

17

RuiG Поэтому я быстро проверю его 20 различными антивирусами, и 3 из них мне расскажут правду :) Береженого - бог бережёт.

0


Вы здесь » PlayTruckSims: Грузовые симуляторы, Дальнобойщики, Euro Truck Simulator 2, American Truck Simulator » Беседка » Хакер-провокатор распространяет троян по ICQХакер-провокатор распростр