Комментарии 21
"«Суп туалет сидеть». Естественно, это кривой перевод от Google, но если среди читателей найдутся знатоки корейского, то поправьте."
За Сра Нец ?
ИМХО, статья-пугалка для домохозяек, с чего-то решивших стать сисадминами.
Не понял одного. Если мы всю статью сравниваем то, что нам кто-то прислал с оригинальной версией, то почему бы сразу не использовать оригинальную версию?
Ну, т.е. мы в очередной раз приходим к выводу, что не надо открывать/запускать файлы из неизвестных источников. И если человек задумался, а что это нам прислали, то скорее всего проще будет скачать программу с официального сайта, а не проверками заниматься.
Вы как космонавт в космосе, ну как это можно выйти в космос не надев скафандра спросите Вы? Легко. Мир состоит не только из космонавтов, но и обывателей. Когда им говоришь, а зайди и скачай ну для примера тимвиьювер с офф. сайта. Что они делают? Правильный ответ, вбивают в яндексе то что ищем и кликают на первую ссылку. ВСЁ! Профит!
Специально проверил сейчас. В Яндексе первой идёт ссылка на официальный сайт Тимвьювера. И я, когда мне нужно было кому-то помочь удалённо, именно такой путь и советовал, а не присылал по почте exe-шник.
Ну и не совсем понятно, для кото статья. Те, кто читают Habr, скорее сами знают где брать официальные версии клиентов. А домохозяйкам не нужен SSH или VNC клиент.
Поэтому и вектор атаки какой-то сомнительный. Больше похоже, что ориентирован на мамкиных Одминов, которые арендовали себе сервер для какой-нибудь сетевой игрушки. Правда, так и не понял, как они получают эти заражённые версии клиентов. Т.е. это надо найти человека, которому нужен SSH клиент, и каким-то способом убедить его, что ему нужна именно та версия, что ты ему закинул.
На что уж я «виндузятник» с Win3.11 годов, но и то уже годов 5 пересел в десктопе на Линукс Минт и гораздо спокойнее себя чувствую. Я не говорю, что тут меньше зловредов(таки да, меньше) но зачем же все время есть кактус, когда можно со спокойной душой открывать почту и не дрожать, что запустится какой нибудь
Держите правильную картинку.
UPX’а (Это упаковщик для С++ такой
Вообще то для PE
.
Заголовок статьи: "Анализируем трояны в популярных SSH-клиентах"
Моя первая мысль: "Блин, у меня что, в консоли при выполнении команды SSH троян запускается?"
После прочтения статьи: "А, так это про скачивание и запуск каких-то левых exe-шников, в которые добавили shell'ы".
Неудачно сформулировано:
Под заражение попали следующие популярные клиенты:
1. Putty (абсолютно все версии)
Выглядит так, будто речь про оригинальные версии с сайта разработчика (тогда надо было бы срочно переходить на другой клиент, менять ключи и пароли, переустанавливать системы и т.д. и т.п.). Но, если речь про то, что злоумышленники брали нормальные версии PuTTY, внедряли туда троян и отправляли по email, то какая разница, была версия одной или разными?
Жертвами первой волны этой атаки стали инженеры и специалисты технической поддержки, работающие в IT-компаниях Великобритании, Индии, России и США.
Уволить нафиг за профнепригоднось и ходячий бэкдор в компании.
На приложенном скрине четко видно, в чем заключается разница между оригиналом и вредоносной копией: размер файла, количество байт на последней странице, количество страниц и т. д.
Одинаковый checksum у заведомо разных файлов – это интересно. Требует пояснений, думаю.
парень без упреков совести спалил свой реальный айпи адрес и как ни в чем не бывало продолжил играть
Авторы оригинальных взломов наверняка продают плоды своего труда за крипту юным невоздержанным школьникам. Которые и становятся козлами отпущения.
Под заражение попали следующие популярные клиенты:
- Putty (абсолютно все версии)
- Kitty (telnet, ssh)
- TightVNC (RDP Client)
- Sumatra PDF Reader
Давно в PDF-читалках есть встроенный SSH-клиент?
Качать с оригинала нужно.
Анализируем трояны в популярных SSH-клиентах