О взломах - 2 3/4, или Немеряная крутость кулхацкеров Осваиваю потихоньку Google Reader, подписался среди прочих RSS на веблог лаборатории Касперского - и сразу же новость в тему. Как проще всего заслать троян типа Pinch на компьютеры ничего не подозревающих пользователей? А вот так, например:
...за последние три недели одна рассылка выделялась особо. Каждый день миллионы пользователей сервиса ICQ получали следующее сообщение:
Вышло новые неофициальное дополнение к знаменитому клиенту QIP _www.qip.ru
SIP:
в дополнение входят такие возможности как:
*скрытие/подмена вашего номера
*скрытие/подмена вашего примари емэйла
*возможность прослушки других пользователей (необхдим qip 8020 и выше
...
Установка:
Распакуйте архив, запустите файл Install остальные файлы должны лежать в папке в месте с install.
Скачать: _http://slil.ru/248*** (656 kb)
Указанная ссылка иногда повторялась два раза в день — в зависимости от оперативности антивирусных компаний. По ней всегда можно было найти популярную троянскую программу Trojan-PSW.Win32.LdPinch.
При тщательном анализе всех модификаций исполняемого файла троянца было обнаружено следующее:
1. Во всех случаях использовалась старая версия, находящаяся в открытом доступе, упакованная с применением различных упаковщиков.
2. Изначально злоумышленником применялся способ отсылки отчетов с похищенными конфиденциальными данными при помощи публичных SMTP-серверов, затем он переключился на использование скрипта-гейта, размещенного на сайте бесплатного хостинга.
3. E-mail, на который уходили отчеты, оставался неизменным во всех случаях.
...
В лучшие дни автору этой рассылки удавалось собирать до сотни отчетов. В его интернет-магазине выставлены на продажу 19 шестизначных номеров ICQ и 58 семизначных.Разумеется, сотни отчетов при миллионах писем - это "пробив" в 0,01%, что смешно даже по сравнению с находящимися в том же открытом доступе экплойт-паками вроде MPack или IcePack (о которых я все не соберусь толком рассказать). Но "дура-дура, а свои три рубля имею" - украденные номера асек, не говоря уже о прочих данных, налицо. Короткие номера ICQ продают нынче за 3-10 долларов, так что общий "улов" кулхацкера составил около 300WMZ.
Самое любопытное в этой истории, что хотя ФИО и координаты кулхацкера известны Лаборатории Касперского, никакого судебного преследования в его адрес, скорее всего, не будет - поскольку никто из пострадавших не станет подавать заявление из-за такого пустяка, как уведенный номер ICQ.
Все это было бы смешно, если бы все кулхацкеры действовали столь же примитивно...