Березень 25th, 2009
Навздогін вчорашньому посту. Компанія DrWeb повідомляє про виявлення трояну у мережі банкоматів:
Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, – подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.
В связи с тем, что, как правило, сети банкоматов не связаны с Всемирной Паутиной, единственный способ проникновения на них подобной вредоносной программы – участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.
Для холівору можна відмітити, що на банкоматах стоїть Windows, як правило (інакше, що б там робив Dr.Web). Різних версій: і 98, і NT 4.0, і навіть страшні історії про 3.11 доводилося чути.
Втім, в даному випадку, це не важливо. Мережа закрита (хоча, якщо DrWeb туди якость потрапив, значить, не така вже вона була й закрита), тому троян туди теоретично просто не зможе попасти. До того ж, дане звірятко явно було спеціально створено: не так то й просто працювати з периферійними пристроями банкомату. Однозначно, автором вірусу була людина, близька до IT-відділу банку. Можливо, когось звільнили під приводом кризи, абощо…
Між іншим, окрема тема — rss стрічка новин компанії Dr.Web. Вона в них надійно захована на окремій сторінці, шоб дістатися до неї могли лише справжні та дуже наполегливі веб-майстри.
Категорії: Життя |
Теґи:Windows, вірус | Кометарів немає
Березень 24th, 2009
Виявлено перший в світі ботнет, який складається з роутерів на базі Linux/MIPS. Розбито відразу два міфи: “під лінуксом нема вірусів” та “стійкі незламні вебсервери стоять на лінуху”. Суперновина, прихильники MS танцюють самбу на уламках dlink’ів, asus’ів та іншої фігні.
Власне, головне джерело інформації: http://www.dronebl.org/blog/8 . Там сказано, що на даний момент psyb0t (так його назвали) самоліквідувався. Управління інфікованими машинами відбувалося через звичний багатьом IRC(Internet Relay Chat). Це дозволило невідомому хакеру залишити послання людству:
* Now talking on #mipsel
* Topic for #mipsel is: .silent on .killall .exit ._exit_ .Research is over:
for those interested i reached 80K. That was fun 
, time to get back to the real life… (To the DroneBL guys:
I never DDOSed/Phished anybody or peeked on anybody’s private data for that matter)
* Topic for #mipsel set by DRS at Sun Mar 22 17:02:15 2009
Чисто just for fun, без ніякої шкоди. Втім, спеціалісти не впевнені, наскільки можна вірити цим словам.
Механізм ураження був простим, як дрова. Настільки простим, що цю штуку теоретично навіть не можна класифікувати як черв чи вірус. Воно просто тупо, brute force, підбирало пароль, щоб отримати доступ в консоль роутера. А отримавши, починало веселитись: блокувало ssh, telnet та web-інтерфейс (щоб хазяїн машинки не зміг нічого вдіяти), скачувало своє основне тіло і починало чекати подальших команд через IRC. Роутер при цьому продовжував функціонувати, всі пакети направлялися куди треба. Правда, цілком можливо, що проводився пошук у пакетах інших паролів (це я не зовсім зрозумів, але промайнула фраза “harvests usernames and passwords through deep packet inspection”).
Відповідно, так само простим як дрова є і спосіб захисту: треба лише не лінуватися і використовувати довгий, якісний пароль. До речі, тут якраз Microsoft представив засіб для перевірки стійкості пароля.
А ще хтось згадав, що такий тип атаки було описано ще у далекому 2006 році. Якщо цікаво, можна глянути, там небагато.
Категорії: Життя |
Теґи:linux, psyb0t, вірус | Кометарів немає
Жовтень 16th, 2008
Новина: Завершився конкурс на кращий вірус для UNIX-систем Єдиний учасник конкурсу отримав приз, не побоявшись показати публіці своє звірятко. Публіка інтенсивно чухає потилиці, намагаючись оцінити досягнутий результат
Оринінальну розробку можна взяти на сайті конкурсу. . Я дозволив собі дещо розвинути ідею автора, мій варіант лежить тут, саме його і раджу скачати.
Інструкція з використання: розпакувати архів, виконати make. Перейти в директорію bin, там буде три файли: miklyvir, atest1 та atest2. Це, відповідно, “батько” вірусу та пара тестових файлів — “жертви”. Запускаєте ./milkyvir, він заражає atest1 (перший ліпший неінфікований файл у директорії). Запускаєте ./atest1, він інфікує atest2. Результати можна подивитися в hex-редакторі.
Попередження #1: вірус інфікує перший “здоровий” виконуваний файл, який знайдеться в поточному каталозі. Тому краще запускати, знаходячись в каталозі milkydir/bin/. Інакще, самі розумієте… Антивірусу не передбачено 
Попередження #2: Вбудований в mc hex-редактор занадто інтелектуальний. Він показує лише першу частину файлу (тіло вірусу), а оригінальну програму і підпис приховує. Така сволота..
Попередження #3: Про всяк випадок, грайтеся з ним під звичайним акаунтом, а не під root.
Принцип дії. Наполегливо раджу заглянути у вихідний код, там дуже багато коментарів, одразу все стає ясно. Основна ідея наступна. “Батько” вірусу, якщо його запустити знаходить у поточній директорії ELF-файл — жертву і заражає його: записує на початок тіло вірусу. Тепер, коли ви запустите інфікованй файл-жертву, насправді виконається вірусу. По-перше, він спробує знайти і заразити ще якийсь файл. По-друге, виконає оригінальний файл, щоб ви нічого не помітили. В кінець зараженого файлу додається слово “Moloko” — ознака того, що файл заражено, щоб не інфікувати цей файл при наступних запусках. Молоко так часто згадується, бо автор цього створіння виступає під ніком Весёлый Молочник.
Зрозуміло, що реальну шкоду звірятко наврядчи може принести: звичайний користувач не має права на запис у /bin. Але формально все правильно — воно розмножується без відома власника ЕОМ.
Таке от життя в електронному просторі
Категорії: Життя |
Теґи:linux, вірус | Коментарів: 4s
