Комментарии 9
Вот попался на это. Хотел людям из другой страны помочь, а меня использовали как атакующего. Теперь я только внутренний ретранслятор. Вот кому надо а?
+1
Плагины расшифровываются на лету в процессе инициализации бота, но ключ шифрования зависит от зараженного компьютера. Такой подход затрудняет процесс извлечения файлов вредоносной программы в процессе криминалистической экспертизы.
Как вообще это работает, т.е. .exe файл зашифрован AES изначально, перед выполнением его расшифровывают во временный файл что ли, а потом выполняют и удаляют? Извиняюсь за глупый вопрос, но познания в этой области совсем скромны.
0
Плагин хранится на диске в уже зашифрованном виде, его зашифрование осуществляется в момент его первого сохранения на зараженной машине. Расшифрование плагина осуществляется непосредственно в памяти в момент его загрузки/ инициализации основным мулем вредоносной программы. В процессе генерации ключа используются данные из DigitalProductID и MachineGuid, что делает ключ уникальным для каждой зараженной машины и усложняет в некоторых случаях криминалистический анализ.
+1
Так тогда возникает резонный вопрос, разве нельзя эти расшифрованные модули в памяти отслеживать, и удалять пакость?
0
Кстати, а они активной нодой тор сети являются, то есть трафик tor-а прокачивают?
А то пора бы уже малварщикам в развитие этой сети вкладываться, хе-хе.
Принудительная TOR-ификация всех машин ботнета. Звучит интересно. Может тогда эта сеть начнет хоть чуть-чуть быстрее работать.
А то пора бы уже малварщикам в развитие этой сети вкладываться, хе-хе.
Принудительная TOR-ификация всех машин ботнета. Звучит интересно. Может тогда эта сеть начнет хоть чуть-чуть быстрее работать.
+2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ботнеты на основе TOR