|
|
Пишет schegloff (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} schegloff)@ 2007-09-30 21:37:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
О взломах - 2 3/4, или Немеряная крутость кулхацкеров
Осваиваю потихоньку Google Reader, подписался среди прочих RSS на веблог лаборатории Касперского - и сразу же новость в тему. Как проще всего заслать троян типа Pinch на компьютеры ничего не подозревающих пользователей? А вот так, например:
...за последние три недели одна рассылка выделялась особо. Каждый день миллионы пользователей сервиса ICQ получали следующее сообщение:
Вышло новые неофициальное дополнение к знаменитому клиенту QIP _www.qip.ru
SIP:
в дополнение входят такие возможности как:
*скрытие/подмена вашего номера
*скрытие/подмена вашего примари емэйла
*возможность прослушки других пользователей (необхдим qip 8020 и выше
...
Установка:
Распакуйте архив, запустите файл Install остальные файлы должны лежать в папке в месте с install.
Скачать: _http://slil.ru/248*** (656 kb)
Указанная ссылка иногда повторялась два раза в день — в зависимости от оперативности антивирусных компаний. По ней всегда можно было найти популярную троянскую программу Trojan-PSW.Win32.LdPinch.
При тщательном анализе всех модификаций исполняемого файла троянца было обнаружено следующее:
1. Во всех случаях использовалась старая версия, находящаяся в открытом доступе, упакованная с применением различных упаковщиков.
2. Изначально злоумышленником применялся способ отсылки отчетов с похищенными конфиденциальными данными при помощи публичных SMTP-серверов, затем он переключился на использование скрипта-гейта, размещенного на сайте бесплатного хостинга.
3. E-mail, на который уходили отчеты, оставался неизменным во всех случаях.
...
В лучшие дни автору этой рассылки удавалось собирать до сотни отчетов. В его интернет-магазине выставлены на продажу 19 шестизначных номеров ICQ и 58 семизначных.
Разумеется, сотни отчетов при миллионах писем - это "пробив" в 0,01%, что смешно даже по сравнению с находящимися в том же открытом доступе экплойт-паками вроде MPack или IcePack (о которых я все не соберусь толком рассказать). Но "дура-дура, а свои три рубля имею" - украденные номера асек, не говоря уже о прочих данных, налицо. Короткие номера ICQ продают нынче за 3-10 долларов, так что общий "улов" кулхацкера составил около 300WMZ.
Самое любопытное в этой истории, что хотя ФИО и координаты кулхацкера известны Лаборатории Касперского, никакого судебного преследования в его адрес, скорее всего, не будет - поскольку никто из пострадавших не станет подавать заявление из-за такого пустяка, как уведенный номер ICQ.
Все это было бы смешно, если бы все кулхацкеры действовали столь же примитивно...
Осваиваю потихоньку Google Reader, подписался среди прочих RSS на веблог лаборатории Касперского - и сразу же новость в тему. Как проще всего заслать троян типа Pinch на компьютеры ничего не подозревающих пользователей? А вот так, например:
...за последние три недели одна рассылка выделялась особо. Каждый день миллионы пользователей сервиса ICQ получали следующее сообщение:
Вышло новые неофициальное дополнение к знаменитому клиенту QIP _www.qip.ru
SIP:
в дополнение входят такие возможности как:
*скрытие/подмена вашего номера
*скрытие/подмена вашего примари емэйла
*возможность прослушки других пользователей (необхдим qip 8020 и выше
...
Установка:
Распакуйте архив, запустите файл Install остальные файлы должны лежать в папке в месте с install.
Скачать: _http://slil.ru/248*** (656 kb)
Указанная ссылка иногда повторялась два раза в день — в зависимости от оперативности антивирусных компаний. По ней всегда можно было найти популярную троянскую программу Trojan-PSW.Win32.LdPinch.
При тщательном анализе всех модификаций исполняемого файла троянца было обнаружено следующее:
1. Во всех случаях использовалась старая версия, находящаяся в открытом доступе, упакованная с применением различных упаковщиков.
2. Изначально злоумышленником применялся способ отсылки отчетов с похищенными конфиденциальными данными при помощи публичных SMTP-серверов, затем он переключился на использование скрипта-гейта, размещенного на сайте бесплатного хостинга.
3. E-mail, на который уходили отчеты, оставался неизменным во всех случаях.
...
В лучшие дни автору этой рассылки удавалось собирать до сотни отчетов. В его интернет-магазине выставлены на продажу 19 шестизначных номеров ICQ и 58 семизначных.
Разумеется, сотни отчетов при миллионах писем - это "пробив" в 0,01%, что смешно даже по сравнению с находящимися в том же открытом доступе экплойт-паками вроде MPack или IcePack (о которых я все не соберусь толком рассказать). Но "дура-дура, а свои три рубля имею" - украденные номера асек, не говоря уже о прочих данных, налицо. Короткие номера ICQ продают нынче за 3-10 долларов, так что общий "улов" кулхацкера составил около 300WMZ.
Самое любопытное в этой истории, что хотя ФИО и координаты кулхацкера известны Лаборатории Касперского, никакого судебного преследования в его адрес, скорее всего, не будет - поскольку никто из пострадавших не станет подавать заявление из-за такого пустяка, как уведенный номер ICQ.
Все это было бы смешно, если бы все кулхацкеры действовали столь же примитивно...
