nuklearlord 7 дек 2012 в 05:25

Эволюция Zeus. Part I

7 мин

39K

Информационная безопасность *

+78

Комментарии 47

openkazan 7 дек 2012 в 06:14

Уже сколько лет боюсь садиться за Windows, тем более чужой… с моим линуксом как то всё намного проще:)

nuklearlord 7 дек 2012 в 06:52

Пожалуйста, не разводите очередной холивар. А то у меня создается впечатление, что мои статьи читают только люди из мира Linux, для того, что бы в очередной раз убедиться, какое гуано Windows.

openkazan 7 дек 2012 в 07:08

Даже не собирался:) обычный комментарий, со своей точкой зрения.

Yaris 7 дек 2012 в 07:59

Не холивара ради: видел много статей про подобное ВПО под Windows, но ещё не встречал статей про ВПО подобного уровня под Linux. Если у Вас есть ссылки на «где почитать» или Вы сами напишете — с удовольствием почитаю.

Maldor 7 дек 2012 в 08:05

Я думаю (и это только ИМХО), заниматься разработкой подобного ПО под linux нецелесообразно. Доля linux на пользовательских компьютеров очень маленькая. Сил на создание уйдет столько же сколько и на создание версии для винды. В итогде соотношеные выгода\затраты говорит против создания по для linux.

Maldor 7 дек 2012 в 12:55

Как я люблю когда виндо\линукс\мако хейтеры приходят и увидев подобный коммент лезут минусовать карму. Не занимаюсь кармадрочерством, но пишите, хоть если с чем-то не согласны. А так вроде и обплевали и непонятно за что.

kibergus 7 дек 2012 в 14:32

А еще целевые аудитории у ОС немного разные. Никто не мешает под линуксом попросить пользователя установить крутую программу с котятами, запросить у пользователя пароль, вызвать с ним sudo и делать что угодно. Я не виду причин, по которым пользователь, согласившийся на это под виндами не сделает того же самого под линуксом. Но доли таких пользователей скорее всего разные.

pansa 7 дек 2012 в 22:28

судо/рут нужен, если хочется получить полноценный доступ к ОС. Подавляющей части вирусов это не нужно, нужны ваши данные — парольчики, и прочее. А для этого вполне достаточно уязвимости в вашем браузере, запущенном под вашими же правами. Даже меньше — если у вас Ubuntu, например, посмотрите права в ~. Вас не смущает доступ r для others? Да, конечно, все критичные конфиги и каталоги, типа, .ssh закрыты, но возьмите ~Desktop — опять r! А ведь сюда хомячки кладут всё своё ценное. Возьмите сегодняшний бич под винду — энкодеры, с которыми непонятно что делать вообще и как ловить.
Так что мы спокойно живем под линукс, пока он не интересен с т.з. малой популярности у хомячков. Как только понадобится, поверьте, уязвимостей там хватит надолго.

nuklearlord 7 дек 2012 в 08:33

Maldor меня опередил.

DeeoniS 7 дек 2012 в 10:01

Оно там тоже есть, просто ориентированно не на клиентские машины, а на серверные www.opennet.ru/opennews/art.shtml?num=35392

kibergus 7 дек 2012 в 14:33

А еще была серия прикольных вирусов, заражающих столь распространенные нынче домашние роутеры. Основной пут вторжения — bruteforce пароля админки по словарю.

НЛО прилетело и опубликовало эту надпись здесь

nolka 7 дек 2012 в 08:16

Я однажды в линуксе пытался запустить виндовый вирус под wine — не получилось. Мне только показали окошко с ошибкой, но сам вирь не запустился. Хотя мой друг ради интереса тоже пытался запускать вирь, и у него получилось!)

Glowfall 7 дек 2012 в 11:49

Малварь малвари рознь… Очень часто зловредное ПО опирается на недокументированные особенности ОС, которые могут быть не реализованы в wine.

merlin-vrn 8 дек 2012 в 11:31

К сожалению, в последнее время (примерно года три) Wine настолько развился, что огромное число троянов под ним работают.

Int_13h 7 дек 2012 в 09:30

И все таки первый в истории вирь погрыз в решето именно ~~пингвина~~ *nix :)

nuklearlord 7 дек 2012 в 09:48

Я уж в статье про червь Морриса не стал об этом упоминать — но таки да, вредоносные программы сначала появились под NIX системы.

merlin-vrn 8 дек 2012 в 11:32

Логично, да, в те времена винда была 2.0 и никакого интернета в ней не было. Как и в DOS. А вот вирусов для DOS, рассчитанных на «дискетконет», было полным-полно.

elw00d 7 дек 2012 в 06:27

А сейчас вообще через какие браузеры проникают такие штуки? Только ИЕ? или для других браузеров тоже имеются эксплоиты?

Alex42rus 7 дек 2012 в 06:43

Имеются для всех.

impass 8 дек 2012 в 01:24

В настоящее время, похоже, стало целесообразнее эксплойтить уязвимости в популярных браузерных плагинах — Java, Flash Player, Adobe Reader. Заодно не требуется сильно заморачиваться насчёт разновидностей браузера.

malanin 7 дек 2012 в 06:30

Захватывающе. Война мафиозных IT-кланов =)

nuklearlord 7 дек 2012 в 06:53

Да там вообще, когда читаешь в оригинале на английском — как триллер. Плохо, что рускоязычные аналитики не сводят все кусочки мозаики воедино.

0dd_b1t 7 дек 2012 в 11:59

спасибо Вам за статью — было действительно интересно читать.

Vokabre 7 дек 2012 в 07:11

Уверен, что через полвека про темную сторону IT нашего времени снимут немало фильмов.

savant 7 дек 2012 в 07:12

Для общего развития напишите ещё про вирусы/ботнеты для линуксовых серверов например. Хотя если есть инфа про поражающие клиентские машины, тоже интересно почитать.

smind 7 дек 2012 в 07:43

про ботнеты из роутеров со стандартными логинами/паролями admin/admin слышал, а вот про остальное как то не приходилось…

НЛО прилетело и опубликовало эту надпись здесь

darked 7 дек 2012 в 08:09

Ага, и куски кода )))

НЛО прилетело и опубликовало эту надпись здесь

merlin-vrn 8 дек 2012 в 11:34

Это-то как раз вполне реально. Некоторое время назад же утекли исходники Zeus.

Dzen_Marketing 8 дек 2012 в 11:45

В треде уже выложили исходники

sergehog 7 дек 2012 в 08:02

Как вы думаете, Slavik читает хабр?
И вообще, это точно nuklearlord написал топик? Может Славик под его аккаунтом захотел попиариться? Перенесите в блог «Я пиарюсь» :-)

Пользуясь случаем, передаю приветы Slavik-у и его друзьям-подельникам.

Dzen_Marketing 7 дек 2012 в 08:21

А я вот хочу передать Дамраю и Кабану.
Как по мне, так для своего времени было очень популярно и с низким порогом входа

nuklearlord 7 дек 2012 в 08:39

Была мысль и про Pinch ввернуть главу, но как по мне — размах не тот. Хотя идея обхода антивирусной защиты путем эмуляции нажатия пользователем кнопки разрешить — это нечто. Такой примитив — но работает!

Dzen_Marketing 7 дек 2012 в 08:48

ЕМНИП, это было не сразу.
Но как быстрый костыль — годится

nuklearlord 7 дек 2012 в 08:36

Вы мне льстите, я вообще даже не реверсер. Я просто люблю собирать и анализировать информацию.

ValdikSS 7 дек 2012 в 08:58

Кому интересно, то на реддите парень делает свой форк зевса, который распространяется через usenet, может ддосить, майнить биткоины и управляется через Tor.
community.rapid7.com/community/infosec/blog/2012/12/06/skynet-a-tor-powered-botnet-straight-from-reddit

nuklearlord 7 дек 2012 в 14:19

За ним пативэн уже выехал. За вами пока ведется наблюдение =) А за инфу спасибо.

l0rda 7 дек 2012 в 14:09

nuklearlord 7 дек 2012 в 14:18

Ус-па-кой-ся, я так сто раз зевса криптовал =)

Cupper 7 дек 2012 в 20:30

А кто нибудь проводил анализ реализации Zeus или Spyeye, интересно узнать на сколько хорошо он спроектированы и реализованы внутри. Есть ли баги, стабильность работы…

nuklearlord 7 дек 2012 в 21:13

Вот, например. Правда IMHO там много домыслов. И версия древняя относительно.

impass 8 дек 2012 в 02:03

утёкшие исходники версии 2.0.8.9, кому охота поковыряться

rghost.net/42084414

Ajex 8 дек 2012 в 00:16

Баги есть везде, в т.ч. и ботнетах. В какой-то версии Spyeye есть банальная sql инъекция, которая позволяет получить доступ к командному центру и перехватить управление ботнетом.

Zorkus 8 дек 2012 в 07:07

И ведь в полицию не обратишься «у меня угнали ботнет!». Красота.

hostmaster 6 янв 2015 в 09:35

В старых версиях Zeus код С&C был довольно посредственный PHP, по этому нагрузку не держал совсем. Что приводило даже к возникновению паралельного рынка админок совместимых с ботами Zeus но более производительных.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий