Имя
Пароль
Информационная безопасность Безопасность и разведка в сети. Защита, легальные способы нападения.

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Старый 01.11.2007, 11:42   #1
Наташка
Белая и пушистая
 
Аватар для Наташка
 
Регистрация: 18.05.2007
Сообщений: 7,374
Сказал(а) спасибо: 14,892
Поблагодарили 5,431 раз(а) в 2,819 сообщениях
Репутация: 1675
По умолчанию Всё о троянах

Предлагаю в этом топике размещать всё, что вы знаете о троянах. Делитесь своим негативным или позитивным опытом.
Девочка Наташка вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 01.11.2007, 11:42   #2
Наташка
Белая и пушистая
 
Аватар для Наташка
 
Регистрация: 18.05.2007
Сообщений: 7,374
Сказал(а) спасибо: 14,892
Поблагодарили 5,431 раз(а) в 2,819 сообщениях
Репутация: 1675
По умолчанию

Троян - вирусоподобная программа, созданная для просмотра и воровства личной информации жертвы. Обычно троянами заражаются после запуска сомнительных файлов, пришедших по почте. Сам троян не размножается, сидит в системе и ждет выхода в Интернет для отправки информации жертвы. Довольно прост в написании, но не особо живуч, чаще используется, нацелено на определенную жертву для получения паролей. Троян не заражает файлы (обычно) и даже часто не несет в себе деструкцию. Наименее опасный из всех представителей вирусного мира.
Алгоритм работы любого трояна сравнительно одинаков, различие только в последовательности выполнения одинаковых для всех троянов команд.

1. Прописывание трояна в системной автозагрузке
здесь различают три основных способа:
а) прописывание в системном реестре
б) в пункте Автозагрузка меню Пуск
в) в файлах system.ini и win.ini (только для windows 9x / ME)


Также может заменять системный файл (типо explorer.exe) собой и запускать системный уже после своих грязных дел вообще способов очень много мы постараемся рассказать о них отдельно.

2.Копирование трояна на новое место (дабы мы его не удалили - сразу) обычно это папка windows и system, но возможно даже и program files. После копирования может удалить себя с места запуска выдав левое сообщение об ошибке.

3. Открывает порт и, «почуяв сеть», отправляет письмо на указанный автором адрес почты со всеми «награбленными» данными (пароли от аськи, от чего-нибудь еще, системная инфа, и т.д.)

4. Осталась деструкция и встроенные приколы и все что заблагорассудится хозяину троя

Как же его обнаружить? Все знают - на компьютере обязательно должен стоять антивирус, тем более, если у него есть выход в Интернет.

Но любой антивирус даже с новыми антивирусными базами может не найти в вашей системе вируса и здесь надо поработать самим.

Если вы заметили небольшое торможение при выходе в сеть или что-то происходит не так, как было раньше, да еще вчера не заработала супер-пупер халявная прога по взлому и-нета, которую тебе прислал твой “друг” или ты ее скачал, причем она выдала такое странное предупреждение об ошибке или вообще ничего не говорила, да и размер у нее от 5 до 300 кб. Мой тебе совет - проверь реестр на появление новой записи, а точнее в ключах автозагрузки (желательно, чтобы ты запомнил, что там было раньше) вот в этих:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run


Чтобы посмотреть эти стоки, запустите regedit (наберите в ПУСК - выполнить regedit), а еще лучше воспользоваться прогами типа RegCleaner - там все проще простого.

Если здесь вы ничего не нашли то жмите три веселых кнопки ctr+alt+del и смотрим какие процессы у нас запущены: стандартными являются: internat.exe
CTFMON.exe
EXPLORER.exe
SVCHOST.exe
taskmgr.exe – вы его только что запустили
SERVICES.exe
WINLOGON.exe
ALG.exe
spoolsv.exe
Isass.exe
и другие (зависит от версии Windows)

Ищем в списке новые процессы (кроме стандартных у каждого может стоять еще десяток собственных) в качестве профилактики иногда полезно посмотреть, не стоит ли там что-то типа winsys.exe или freeonline.exe обычно названия похожи на системные, а иногда даже не отличишь, например EXPLОRER.exe и EXPLORER.exe вроде все одно и тоже, но у первого буква "О" русская вот и думай кто из них кто.

Любой троян, если он им является, должен быть как-то связан с сетью и его действия обязательно должен увидеть firewall. Это стена (дословно - огненная стена) между Интернетом и твоим компом, следящая, чтобы какая-то чужая прога не вышла в сеть без твоего ведома. Если у тебя пока нет firewall'a, то обязательно обзаведись, а как выбрать стену мы расскажем в другой раз...

И так вы нашли что-то похожее на троян или еще лучше вы уверены в этом. Что делать? Удалять! Для начала - вызываем диспетчер задач и завершаем процесс троя (если он есть), иначе работа с файлом невозможна. После - удалить все виды автозагрузок, которые использует прога: в основном, это реестр (ключи смотри выше). Удаляем ключи, которые создала прога. В конце находим сам ехешник и переносим его куда-нибудь подальше, на всякий случай, вдруг он вовсе не вирь (хотя, если вы уверены, что это трой, можно и удалить). Перезагружаем систему вот и все!

КАРМАН

Источник :http://www.fio-17.vrn.ru
Девочка Наташка вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 01.11.2007, 11:48   #3
Одиночка
И один в поле воин
 
Аватар для Одиночка
 
Регистрация: 18.05.2007
Адрес: Киев - русский город
Сообщений: 1,890
Сказал(а) спасибо: 545
Поблагодарили 445 раз(а) в 227 сообщениях
Репутация: 536
По умолчанию

Троян Troj_Captchar.A, обнаруженный специалистами японской антивирусной компании Trend Micro, предлагает пользователям посмотреть стриптиз в обмен на помощь в преодолении систем защиты от автоматических регистраций.

Подавляющее большинство почтовых сервисов используют искаженные графические изображения букв и цифр для проверки того, что учетную запись регистрирует человек. Как правило, только человек способен прочесть искаженные символы и ввести их в соответствующее поле формы регистрации. Тест получил название "Полностью автоматического публичного теста Тьюринга для раздельного обслуживания компьютеров и людей" (CAPTCHA – Completely Automatic Public Turing test to tell Computers and Humans apart).

Троян загружается на компьютер другими троянами или червями, уже захватившими систему, и подключается к удаленному серверу. При поступлении с сервера изображений CAPTCHA, которые необходимо расшифровать, троян активирует игру. Пользователь видит изображение одетой девушки в привлекательной позе и приглашение на стриптиз. По мере правильного ввода содержимого CAPTCHA, на экране появляется изображение девушки с уже меньшим количеством одежды. Тем временем, данные отправляются на сервер и используются для автоматической регистрации почтовых ящиков.

Других проявлений трояна не обнаружено; Trend Micro уже добавила его в базу сигнатур своих антивирусных продуктов.


cnews.ru
Мальчик Одиночка вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 01.11.2007, 13:26   #4
_AZzAzELo_
Прописан на форуме
 
Аватар для _AZzAzELo_
 
Регистрация: 28.08.2007
Адрес: Мариуполь
Сообщений: 890
Сказал(а) спасибо: 0
Поблагодарили 46 раз(а) в 43 сообщениях
Репутация: 51
По умолчанию

Трояны бывают трех основных типов:

Май Sender - тип Троянов, работающих на основе отправки информации "хозяину". На данный момент это очень распространенный вид Троянов. С помощью такого типа "коней" люди, настроившие их (ну, и автор, конечно же), могут получать по почте аккаунты Интернета, пароли ICQ, почтовые пароли, пароли к ЧАТам, Короче, запустив такую вот 'лапочку" у себя на компе, можно лишиться всего, что так мило и дорого сердцу юзверя, И это в лучшем случае. В худшем же ты даже не будешь знать о том, что некто (вот гнида!) читает твою почту, входит в Инет через твой ак-каунт (черт! Почему у меня счет ушел в даун?), пользуется твоим UIN'ом ICQ для распространения таких же Троянов пользователям твоего же контакт листа (Маша! Нет! Я не присылал тебе ЭТО!). MailSender никак не зависит от "хозяина", он живет своей жизнью в твоем компе, так как в него все закладывается в момент настройки - Троян все выполняет по плану (послать - поспать, еще послать и т.д.).

BackDoor (если переводить дословно - задняя дверь) - тип Трояна, функции которого включают в себя все, на что способен Троян типа Mail Sender, плюс еще десяток-другой функций удаленного администрирования (управления твоего компа с другой машины, например, через Инет). Раньше такси Троян можно было отловить по размеру файла, но сейчас уже нет. Такой Троян ждет соединения со стороны клиента (неотъемлемая часть Всякого трояна, с помощью которой посылаются команды на сервер). Трояны такого типа дают кому угодно полный доступ к твоему компьютеру.Log Writer - это последний тип Тронное (из основных), копирующий всю информацию, вводимую с клавы, и записывающий ее в файл, который впоследствии будет либо отправлен на определенный E-Mail адрес, либо просмотрен через FTP (File Transfer Protocol). В общем-то, есть что-то схожее с Mail Sender'ом.

Любому новичку достаточно трудно обнаружить и обезвредить Троян по той простой причине, что "товарищи", настраивавшие троянцев, могут легко ввести в заблуждение кого угодно, назвав файл, под которым инсталлируется Троян, как-то вроде winrun32dll.exe или win32.ехе, или msdll64.exe. В общем, фантазия человека безгранична. Конечно же, файл win32.exe располагает к себе доверием, и никакой новичок удалять такой файл не станет.,. А вдруг Wndows "загнется" (гы-гы-гы!)?

Найти и уничтожить!

В Windows есть такая отвратительная (потому что сложная для новичков) или рулезная (по той же причине ) штука, как РЕЕСТР. Ты про него уже по-любому слышал. Реестр состоит из РАЗДЕЛОВ и СТРОК (все строчки с текстовой информацией разбиты по своим разделам). Строка типа "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \ CurrentVersion\Run" - типичное название раздела реестра. В этом разделе содержится часть программ, которые автоматически запускаются при старте твоего Маздая. Есть еще папка "Пуск-Программы-Автозапуск" и файл autoexec.bat (config.sys), но, скорее всего, там ты никаких ЛЕВЫХ программ (в дальнейшем ТРОЯ-НОВ) не обнаружишь, так как туда записываются только особо изощренные Трояны, коих, по крайней мере, я еще не обнаруживал, Для просмотра папки АВТОЗАГРУЗКА достаточно нажать кнопку ПУСК и зайти в ПРОГРАММЫ, для просмотра файлов config.sys и autoexec.bat достаточно запустить notepad. А вот для просмотра РЕЕСТРА нужна программа c:\windows\RegEdit.exe, которая может показывать зги разделы и строчки, Как я уже сказал, большинство Троянов записывает себя в HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Windows\CurrentVersion\Run,но, помимо этого, существует еще масса мест в реестре, куда следовало бы заглянуть.
взято с http://www.stopinfection.narod.ru/
__________________
Всё относительно...
Мальчик _AZzAzELo_ вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 03.11.2007, 00:02   #5
_AZzAzELo_
Прописан на форуме
 
Аватар для _AZzAzELo_
 
Регистрация: 28.08.2007
Адрес: Мариуполь
Сообщений: 890
Сказал(а) спасибо: 0
Поблагодарили 46 раз(а) в 43 сообщениях
Репутация: 51
По умолчанию

Ну вот, только поговорили...незнамо где седня насобирал троянов...ну то пол беды..
так какойто вирусняк ярлыки всех програм похавал..(
__________________
Всё относительно...
Мальчик _AZzAzELo_ вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 03.11.2007, 09:51   #6
Узя
VIP
 
Аватар для Узя
 
Регистрация: 21.05.2007
Адрес: Планета КапеЦ
Сообщений: 6,281
Сказал(а) спасибо: 203
Поблагодарили 1,580 раз(а) в 1,021 сообщениях
Репутация: 215
По умолчанию

Этот вируснык случайно не называется "Очистить рабочий стол от неиспользуемых ярлыков" ? ))
__________________
Админ конфеты и печенье не пьет!
Работаю на работе. Работаю работателем.
Узя вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 03.11.2007, 11:55   #7
_AZzAzELo_
Прописан на форуме
 
Аватар для _AZzAzELo_
 
Регистрация: 28.08.2007
Адрес: Мариуполь
Сообщений: 890
Сказал(а) спасибо: 0
Поблагодарили 46 раз(а) в 43 сообщениях
Репутация: 51
По умолчанию

Цитата:
Сообщение от Узя
Этот вируснык случайно не называется "Очистить рабочий стол от неиспользуемых ярлыков" ? ))
та нет))
тут фишка в чем, ярлыки то остались и работают, вот только все они смортяса как нераспознаные файлы...
__________________
Всё относительно...
Мальчик _AZzAzELo_ вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 03.11.2007, 13:34   #8
Maxim
Заблокирован
 
Аватар для Maxim
 
Регистрация: 17.09.2007
Сообщений: 2,037
Сказал(а) спасибо: 0
Поблагодарили 91 раз(а) в 88 сообщениях
Репутация: 96
По умолчанию

Цитата:
Сообщение от _AZzAzELo_
та нет))
тут фишка в чем, ярлыки то остались и работают, вот только все они смортяса как нераспознаные файлы...
А ты в реестр случайно никакой сомнительной прогой не чистил?
Мальчик Maxim вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 03.11.2007, 14:14   #9
_AZzAzELo_
Прописан на форуме
 
Аватар для _AZzAzELo_
 
Регистрация: 28.08.2007
Адрес: Мариуполь
Сообщений: 890
Сказал(а) спасибо: 0
Поблагодарили 46 раз(а) в 43 сообщениях
Репутация: 51
По умолчанию

Цитата:
Сообщение от Maxim
А ты в реестр случайно никакой сомнительной прогой не чистил?
причем тут реестр до ярлыков???
некоторые востонавились после того как проверил Ad-Aware...
ето был вирусняк.. он убивал файлы типа %SystemRoot%\system32\SHELL32.dll
__________________
Всё относительно...
Мальчик _AZzAzELo_ вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 03.11.2007, 14:38   #10
_AZzAzELo_
Прописан на форуме
 
Аватар для _AZzAzELo_
 
Регистрация: 28.08.2007
Адрес: Мариуполь
Сообщений: 890
Сказал(а) спасибо: 0
Поблагодарили 46 раз(а) в 43 сообщениях
Репутация: 51
По умолчанию BitDefender: октябрьскую десятку угроз возглавил "штормовой червь"

Октябрьскую десятку наиболее распространенных угроз, составленную BitDefender, возглавили трояны-загрузчики, к которым относится так называемый "штормовой червь" - троян Peed, он же Zhelatin, Nuwar, Peacomm.

Трояны-загрузчики (Trojan.Downloader) представляют собой код первой волны захвата компьютера: они устанавливаются в систему и загружают из интернета дополнительные вредоносные модули. На их долю в октябре пришлось 20,36% угроз, обнаруженных специалистами BitDefender Labs, сообщает DarkReading.com.

Второе место досталось старому эксплойту к уязвимости в механизме обработки WMF-файлов в Windows. Хотя патч был выпущен в августовском обновлении безопасности Microsoft (MS07-046), многие трояны и черви используют уязвимость до сих пор. На долю Exploit.Win32.WMF-PFV пришлось 17,51%.

Третье место занимает упаковщик NSAnti (Packer.Malware.NSAnti.J), используемый для сжатия и защиты вредоносного кода (10,49. Он опасен и неудобен для антивирусных программ тем, что использует полиморфизм: каждый новый вариант упакованного кода полностью не совпадает с предыдущим. Код распаковщика/расшифровщика, а также алгоритм шифрования каждый раз генерируются заново.

Оставшиеся семь мест десятки распределились следующим образом: вариации старого Win32.Netsky (P@mm – 6,56%, D@mm – 2,06%, AA@mm – 2, Win32.Nyxem.E@mm – 1,9%, Trojan.VBS.Autorun.J – 1,79%, Win32.Sality.M – 1,46% и Trojan.Agent.AFIS – 1,43%.
__________________
Всё относительно...
Мальчик _AZzAzELo_ вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 03.11.2007, 16:49   #11
Maxim
Заблокирован
 
Аватар для Maxim
 
Регистрация: 17.09.2007
Сообщений: 2,037
Сказал(а) спасибо: 0
Поблагодарили 91 раз(а) в 88 сообщениях
Репутация: 96
По умолчанию

Цитата:
Сообщение от _AZzAzELo_
причем тут реестр до ярлыков???
некоторые востонавились после того как проверил Ad-Aware...
ето был вирусняк.. он убивал файлы типа %SystemRoot%\system32\SHELL32.dll
просвещаю все ассоциации и картинки какие должны показываться прописываютсяв реестре.
Мальчик Maxim вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 03.11.2007, 17:16   #12
_AZzAzELo_
Прописан на форуме
 
Аватар для _AZzAzELo_
 
Регистрация: 28.08.2007
Адрес: Мариуполь
Сообщений: 890
Сказал(а) спасибо: 0
Поблагодарили 46 раз(а) в 43 сообщениях
Репутация: 51
По умолчанию

Цитата:
Сообщение от Maxim
просвещаю все ассоциации и картинки какие должны показываться прописываютсяв реестре.
даже так, ну вске равно я давно ничем не чистил реестр..
__________________
Всё относительно...
Мальчик _AZzAzELo_ вне форума   Ответить с цитированием
Старый 03.11.2007, 17:43   #13
random
Прописан на форуме
 
Аватар для random
 
Регистрация: 08.09.2007
Сообщений: 305
Сказал(а) спасибо: 0
Поблагодарили 13 раз(а) в 13 сообщениях
Репутация: 19
По умолчанию

Maxim, кинь ветку по которой ярліки записуются в реєестр!
__________________
минималист
random вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 07.11.2007, 13:59   #14
_AZzAzELo_
Прописан на форуме
 
Аватар для _AZzAzELo_
 
Регистрация: 28.08.2007
Адрес: Мариуполь
Сообщений: 890
Сказал(а) спасибо: 0
Поблагодарили 46 раз(а) в 43 сообщениях
Репутация: 51
По умолчанию

Код активации Windows продают за "Яндекс.Деньги"Пользователи Интернета, плохо знакомые с азами сетевой безопасности, недавно стали жертвами нового "социального троянца". После того как вредоносная программа загружалась из Сети и укоренялась в далеких папках и системном реестре, при включении компьютера пользователь получал малограмотное сообщение следующего вида:

"Внимание!!! При проверке подлинности Windows было обнаружено, что на вашем компьютере установлено нелицензионное программное обеспечение. Для дальнейшей работы необходимо ввести код активации, указанный на коробке с диском Windows, или нажмите на жёлтую кнопку с ключиком и следуя инструкции получите код активации Windows".

Стилистические и пунктуационные ошибки указывают на то, что здесь поработали пираты. Но те, кто в русском языке не очень сильны, просто обязаны повестись на такой призыв как дети и нажать на "желтую кнопку с ключиком". Если сделать это, то троян предложит отправиться к ближайшему платежному терминалу и отправить 300 рублей на указанный кошелек в системе "Яндекс.Деньги". Ключ активации будет якобы распечатан на чеке, ха-ха-ха.

Пользователь блог-сервиса Li.ru с ником varetyras, обнаруживший напасть на своей рабочей машине, дал народу дельные советы относительно того, как одолеть супостата. В комментариях выяснилось, что от действий троянца (судя по всему, это локализованная версия вредоносной программы Kardphisher) пострадал не он один.

Система "Яндекс.Деньги" становится все более популярным инструментом для выкачивания денег у доверчивого населения. Пятница стала своего рода "рабочим днем" для фишеров, регулярно обманывающих держателей электронной наличности. Так что нет ничего удивительного в том, что почти половина рунетчиков боится электронных платежей.


webplanet.ru
__________________
Всё относительно...
Мальчик _AZzAzELo_ вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 08.11.2007, 18:22   #15
Узя
VIP
 
Аватар для Узя
 
Регистрация: 21.05.2007
Адрес: Планета КапеЦ
Сообщений: 6,281
Сказал(а) спасибо: 203
Поблагодарили 1,580 раз(а) в 1,021 сообщениях
Репутация: 215
По умолчанию

Клево, мне такой вирус не грозит ) По причине отсутствия коробки с кодом ... ))
__________________
Админ конфеты и печенье не пьет!
Работаю на работе. Работаю работателем.
Узя вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 12.11.2007, 13:29   #16
_AZzAzELo_
Прописан на форуме
 
Аватар для _AZzAzELo_
 
Регистрация: 28.08.2007
Адрес: Мариуполь
Сообщений: 890
Сказал(а) спасибо: 0
Поблагодарили 46 раз(а) в 43 сообщениях
Репутация: 51
По умолчанию

PandaLabs: новые угрозы за неделю

PandaLabs опубликовала информацию о наиболее интересных новых вирусных угроз, обнаруженных за эту неделю. В нынешний список вошли следующие вредоносные модули:

Bindo.A – это червь, предназначенный для распространения и заражения как можно большего количества компьютеров за счет создания своих копий под такими названиями, как autoply.exe или MSshare.exe, в папках общего доступа любых пиринговых программ, установленных у пользователя. Кроме того, червь создает файл под названием AUTORUN.INF на всех носителях, на которых он создает свои копии, чтобы иметь возможность запускаться при каждом обращении к такому носителю. Обнаружить присутствие этого червя в системе очень просто, поскольку он увеличивает число файлов, хранящихся в пиринговых папках совместного доступа на компьютере;

Nuwar.HU – это новый вариант печально известного "Storm Worm", который для распространения использует тематику Хэллоуина. Он завершает процессы определенных утилит безопасности, установленных на компьютере. Nuwar.HU оставляет в системе руткит под названием noskrnl.sys и присваивает ему свойства сервиса, чтобы тот запускался автоматически при загрузке компьютера. Nuwar.HU распространяется в электронных сообщениях с такими темами, как "Have a Happy Halloween everyone" или "Party on this Halloween". Такие сообщения содержат ссылки на определенные веб-страницы, демонстрирующие анимацию с ‘танцующим скелетом’. Если пользователь скачивает или запускает анимацию, которую предлагает веб-сайт, червь заражает компьютер и превращает его в систему-зомби на службе у хакера.

techlabs.by
__________________
Всё относительно...
Мальчик _AZzAzELo_ вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 07.04.2008, 20:32   #17
Dr00py
Понаехавшие тут!
 
Аватар для Dr00py
 
Регистрация: 07.04.2008
Адрес: Чоткий райончег=)
Сообщений: 85
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Репутация: 8
Восклицание Pinch

Pinch- самый распространенный троян в наше время.
Относится к классу PSW-Trojans или Password Stealers.
Короче, крадет пароли. Ну конечно, если они где-то сохранены. Если вы сохраняете пасс в квипе, то советую вам забыть о такой привычке. Pinch выдергивает зашифрованные пассворды из десятков различных программ.
Для создания трояна используется билдер- прога, в которой задается конфигурация троя и на выходе получаем готовый exe- файл весом около 30кб.
Может слать пароли как на мыло, та и на гейт - спец. страницу на php, которая записывает рез-ты в отчет c расширением .bin
Может быть склеен с любым файлом(картинкой, архивом) и иметь странное имя типа photo.jpg............[куча пробелов]..exe
На почту часто приходит подобная дрянь. Имеет клона- Xinch, который может похвастаться более функциональным билдером(включены ф-ции кейлоггера, слежения и т.п.)
Для чтения отчетов в формате .bin используют еще одну прогу- парсер, который раскладывает все пароли из отчета по полочкам.
Помните: если ваш антивирус молчит- это еще не значит, что все ок. Файл может быть закриптован простейшим криптором и Каспер уже его не видит... Пользуйтесь онлайн-сервисом virustotal.com для проверки подозрительных файлов.

Последний раз редактировалось Dr00py; 07.04.2008 в 21:56.
Мальчик Dr00py вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 07.04.2008, 21:52   #18
Узя
VIP
 
Аватар для Узя
 
Регистрация: 21.05.2007
Адрес: Планета КапеЦ
Сообщений: 6,281
Сказал(а) спасибо: 203
Поблагодарили 1,580 раз(а) в 1,021 сообщениях
Репутация: 215
По умолчанию

Вообще правильный пинчь это эксклюзив Пасущийся незамено от антивирусов (твои примеры НОД отлавливает) и живущий на 80-м либо подобном порту И никакой онлайн сервис от него в жизни не поможет Эт так для общего развития
__________________
Админ конфеты и печенье не пьет!
Работаю на работе. Работаю работателем.
Узя вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Josic (09.10.2013)
Старый 07.04.2008, 21:56   #19
Dr00py
Понаехавшие тут!
 
Аватар для Dr00py
 
Регистрация: 07.04.2008
Адрес: Чоткий райончег=)
Сообщений: 85
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Репутация: 8
По умолчанию

Ты наверно имеешь в виду приватные крипторы.. Да, они стоят денег, но свое дело делают- антивирусы молчат. Но ведь есть еще файрволы. Хотя тоже есть методы пробива изнутри...
Мальчик Dr00py вне форума   Ответить с цитированием
Старый 07.04.2008, 22:03   #20
Узя
VIP
 
Аватар для Узя
 
Регистрация: 21.05.2007
Адрес: Планета КапеЦ
Сообщений: 6,281
Сказал(а) спасибо: 203
Поблагодарили 1,580 раз(а) в 1,021 сообщениях
Репутация: 215
По умолчанию

Фаерволу суют протокол ослика, фаер молчит как зарезанный. Весь паблик парсится в первую очередь теми же Касперскими, Нодами и ДрВебами Как только пинчь вываливается на паблик, он тут же заносится в сигнатуры, ну масксимум 1 сутки у него жизни А то что покупается за деньги, уже давно опятьже купленно вышеупомянутыми конторами, и держится в "привате" для отстрастки. Неужели ты думаешь, что создав билдер (уже сигнатура) Пинча и распространив его ты хакнеш интернет? )))))
__________________
Админ конфеты и печенье не пьет!
Работаю на работе. Работаю работателем.
Узя вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Текущее время: 07:38. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot