[Заказ рекламы]

Вернуться   Форум ICQMAG.Ru > Обо всем > Флейм

Важная информация

Флейм Общаемся обо всем на свете, флудим сколько хотим ... :)

Ответ
 
Опции темы Опции просмотра
Старый 18.01.2012, 13:03   #1
Прибывший
 
Аватар для Anton-XxX
 
Регистрация: 25.04.2011
Сообщений: 2
Репутация: 0

По умолчанию Трояны на вооружении спецслужб.

Незадолго до нового года были взломаны два известных сайта рунета: elevtroname.com и charter97.org. На первый взгляд взлом походил больше на работу энтузиастов, т.к. сайты продолжали работать и не выдвигались ни какие требования администрации ресурсов. Злоумышленники просто удалили некоторые статьи, и поместили на главную страницу чартера липовую статью.

Расследование кибер преступлений привело к неожиданным результатам. Оказывается, что компьютеры, и даже личная переписка (skype, социальные сети, электронная почта) редакции Хартии находились под скрытым наблюдением белорусских спецслужб. КГБ следило не только за деятельностью сайтов, но и за переписками различных блогеров, политиков, журналистов и прочих активных деятелей.

Получилось установить, что трояны, которые были установлены на компьютерах жертв, слали свои отчёты на различные почтовые адреса. Важно то, что к 2-м ящикам (123asqedws@mail.ru и [Ссылка заблокирована: Зарегистрируйтесь!]
) удалось получить доступ.

Проанализировав содержимое электронных писем, стало ясно, что КГБ Белоруссии незаконно следили за редакцией Хартии, а также Мартином Коктышем, Ириной Халил, Сергеем Возняком, Еленой Новиковой, Павлом Мариничевым, Виктором Радьковым и за многими другими. Даже проводились попытки изыскания компьютеров у Белорусской ассоциации журналистов, Вячеслава Дианова, адвоката Алеся Беляцкого, Дмитрия Лоевского и координатора, так называемых «молчаливых» акций протеста. На сегодняшний день точно не ясно — были ли эти попытки успешными.

Впервые смогли задокументировать первое заражение ещё в июле 2011 года. Тогда хакеры получили пароли от Skype (кто знаком с системой сохранения логов скайпа, тот знает, что достаточно зайти с другого компьютера под чужим логином, что бы получить всю его переписку за последних несколько дней), а также получили доступ к социальным сетям, электронной почте, и прочие важные пароли. Дело в том, что злоумышленники получали картинку с рабочего стола пользователя и могли знать: что он печатает в текстовых процессорах, копировал в буфер обмен, или о чём общался в чатах и на форумах.

КГБшные хакеры использовали три вируса: RMS (Remote Manipulator System ),
[Ссылка заблокирована: Зарегистрируйтесь!]
(ворует сохраненные на ПК пароли и файлы) и [Ссылка заблокирована: Зарегистрируйтесь!]
Самое интересное, что это не какие-то сверх засекреченные
вирусы, а вполне обычные и их может приобрести любой желающий всего за 20-30 долларов.

Во время расследования проведенного специалистами по безопасности, получилось установить, что на оба почтовых ящика хакеров заходили с одного ip адреса — 178.124.157.86. Это был не единичный случайный заход а вполне закономерный и регулярный. Следовательно, адрес статичный, и это очень помогло расследованию. Кроме того, раз адрес постоянный, то можно сделать вывод, что всеми этапами хакерской атаки занималась одна группа.

Удалось выяснить, что Максим Чернявский (известен тем, что его завербовал «Дима из КГБ») получил задание по установке вируса RSM на компьютер Вячеслава Дианова. Именно так расследование и вышло на след КГБ.

Если вы хотите убедиться, что за вами не следят никакие спецслужбы, то вот вам инструктаж, как найти и удалить некоторые вирусы, которые были использованы КГБшниками:

URF Stealer
Это своего рода троян. Чаще всего опознаётся антивирусами под именами: "Trojan:Win32/Anomaly" (Microsoft), "Trojan.Khil.23905" (VBA32), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG).
Размер вируса равен 52,736 байт, а его MD5: 71f950f31c15023c549ef4b33c2bf1e0

Этот троян собирает данные о паролях из кеша ваших программ, таких как: Google Talk, Internet Explorer, Opera, Total Commander, Firefox, Chrome, FileZilla, Miranda, Pidgin, The Bat!, Mail.ru Agent, QIP, ICQ, MSN Messenger и д.р. Кроме того Stealer сохраняет основную информацию о вашей системе. Все украденные данные помещаются в ufr_files, а эта папка создаётся в той же директории где и был запущен вирус. После чего отправляет данные на почтовый ящик владельца вируса и самоуничтожается. В системе не где не оставляет вредных следов, так что и особая чистка не требуется.

Однако определить: был ли не званый гость — можно.
Об этом свидетельствует: папка utr_files в которой лежат *.ds, *.dat, *.bin; а также prefech-файл, который находится в :\Windows\Prefetch\ABGREYD.EXE-*.pf.

Если этот вирус был у вас, то не забудьте сменить все пароли, которые у вас были сохранены в кэше.

RMS Trojan
Как не сложно догадаться по названию — это опять троян. Как и выше названные вирусы, этот тоже плохо определяется антивирусом. Дело в том, что RMS использует в своём коде компоненты, программ, которые являются вполне легальными.

Однако, иногда антивирусы могут определить инсталлятор, как: "Worm.Autorun-8201" (ClamAV), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32), "Trojan.Generic.6178206" (Gdata).

Размер троянца 2,782,938 байт, а MD5: 3299b4e65c7c1152140be319827d6e04.

При активации вирус создаёт скрытую папку :\Windows\system32\catroot3 и копирует туда различные компоненты для удалённого управления компьютером. После чего правит системный файрвол. Затем создаёт файл
:\Windows\system32\de.exe, который тоже скрытый. В конце запускает свою программу по удалённому управлению и, довольный свой работой, умирает (удаляется).

Наличие вируса легко определить по двум новым процессам: rfusclient.exe или rutserv.exe. Так же если вы найдёте скрытую папку :\Windows\system32\catroot3 или файл :\Windows\system32\de.exe, то значит за вами следят. А ещё вирус создаёт новый сервис с названием TektonIT — R-Server.

Управление заражённым компьютером происходит по особому протоколу (в основе лежит стандартный TCP), используя сервера от компании Teton-IT, которые предоставляются бесплатно.
Вирус отличается тем, что сам создаёт файл, через который его можно полностью удалить — ndows\system32\de.exe.

Запуск этого файла полностью очистит вашу систему, включая записи реестра, от вредоносной программы.
После удаления вируса, как обычно, необходимо сменить все свои пароли. Однако этого мало. Так как компьютер находился полностью под контролем хакера, то, скорее всего, он заразил вас ещё 10-ком вирусов. Поэтому постарайтесь, как можно быстрее переустановить систему... лучше всего с форматированием.
__________________
[Ссылка заблокирована: Зарегистрируйтесь!]

Последний раз редактировалось Anton-XxX; 20.07.2013 в 18:26.
Offline   Ответить с цитированием
Ответ

Метки
взлом, троян, хакер


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:06. Часовой пояс GMT +3.
 



|