Комментарии 16
Чем вас так заинтересовал детект виртуалки через проверку LDTR? Это же достаточно известный способ.
+7
проверку локали со значениями из следующего списка
авторы наверное оттуда?
авторы наверное оттуда?
0
Читайте отчет — там полностью. Прочитал, офигел, конечно, от того, что люди пишут )))
+2
прочитал отчёт полностью — тема монетизации совсем не раскрыта
а технический отчёт да, очень классный
а технический отчёт да, очень классный
+3
всегда интересовали тихие способы загрузки и выживания драйверов в вин системе. и тут хэккеры не подкачали.
вообще, интересный обзор, да. вы как компания поднимаетесь у меня в глазах за счёт таких обзоров.
вообще, интересный обзор, да. вы как компания поднимаетесь у меня в глазах за счёт таких обзоров.
+2
А монетизация? Что происходит дальше? Руткит передает данные и куда они потом поступают? Не понятно до конца.
0
через драйвер можно рулить системой как хочешь. в отчёте написано, что внедряется спец dll модуль в какой то процесс. примеры применения, которые хорошо оплачиваются: подмена выдачи поисковиков (скорее всегоф трафф), рассылка спама, участие в ботнете, прокси/сокс сервер, html инжектинг и кража cvv/cvv2/pin с атм карточек, кража запомненных паролей в браузере, популярна кража фтп паролей (фтп продаются базами по ~50к), блокеры системы с последующей отправкой смс от пользователя и тд и тп.
всё эти способы монетизации вроде бы описывались уже хабре
всё эти способы монетизации вроде бы описывались уже хабре
0
руткит tdss никуда ничего не передает(а такая возожность есть, к примеру существует модуль сокетов ядра основанный на TDI и WSK). грубо говоря, он скрывает нужные данные и внедряет вредоносные модули.
0
НЛО прилетело и опубликовало эту надпись здесь
в TDL3 по дефолту идёт модуль подмены выдачи (PPC) =\
0
отчеты — это конечно очень здорово, но при рабочем и обновляющемся nod32 (лицензия) я на винде ХР наловил 13 вирусов и руткитов (коктейль что надо), которые нашел с помощью Malwarebytes' Anti-Malware ) друзья, так не годиться, от нода откажусь как лицензия кончится)
-2
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Win32/Olmarik или исследование TDL3 в деталях