Трояны на вооружении спецслужб.

 
Начать новую тему   Ответить на тему    Список форумов Легально | Онлайн -> СМИ
Предыдущая тема :: Следующая тема  
Автор Сообщение

Репутация: 0    

 AntonXxX

НЕ ПРОВЕРЕН


Zареган: 08.09.2010 (2597 дней)
Сообщения: 92

СообщениеДобавлено: Вторник Января 17, 2012 20:49 pm    Заголовок сообщения: Трояны на вооружении спецслужб. Ответить с цитатой

Незадолго до нового года были взломаны два известных сайта рунета: elevtroname.com и charter97.org. На первый взгляд взлом походил больше на работу энтузиастов, т.к. сайты продолжали работать и не выдвигались ни какие требования администрации ресурсов. Злоумышленники просто удалили некоторые статьи, и поместили на главную страницу чартера липовую статью.

Расследование кибер преступлений привело к неожиданным результатам. Оказывается, что компьютеры, и даже личная переписка (skype, социальные сети, электронная почта) редакции Хартии находились под скрытым наблюдением белорусских спецслужб. КГБ следило не только за деятельностью сайтов, но и за переписками различных блогеров, политиков, журналистов и прочих активных деятелей.

Получилось установить, что трояны, которые были установлены на компьютерах жертв, слали свои отчёты на различные почтовые адреса. Важно то, что к 2-м ящикам ([email protected] и
 Скрытый текст ) удалось получить доступ.

Проанализировав содержимое электронных писем, стало ясно, что КГБ Белоруссии незаконно следили за редакцией Хартии, а также Мартином Коктышем, Ириной Халил, Сергеем Возняком, Еленой Новиковой, Павлом Мариничевым, Виктором Радьковым и за многими другими. Даже проводились попытки изыскания компьютеров у Белорусской ассоциации журналистов, Вячеслава Дианова, адвоката Алеся Беляцкого, Дмитрия Лоевского и координатора, так называемых «молчаливых» акций протеста. На сегодняшний день точно не ясно — были ли эти попытки успешными.

Впервые смогли задокументировать первое заражение ещё в июле 2011 года. Тогда хакеры получили пароли от Skype (кто знаком с системой сохранения логов скайпа, тот знает, что достаточно зайти с другого компьютера под чужим логином, что бы получить всю его переписку за последних несколько дней), а также получили доступ к социальным сетям, электронной почте, и прочие важные пароли. Дело в том, что злоумышленники получали картинку с рабочего стола пользователя и могли знать: что он печатает в текстовых процессорах, копировал в буфер обмен, или о чём общался в чатах и на форумах.

КГБшные хакеры использовали три вируса: RMS (Remote Manipulator System ),
 Скрытый текст  (этот вирус распространяется через флешку) и  Скрытый текст  Самое интересное, что это не какие-то сверх засекреченные вирусы, а вполне обычные и их может приобрести любой желающий всего за 20-30 долларов.

Во время расследования проведенного специалистами по безопасности, получилось установить, что на оба почтовых ящика хакеров заходили с одного ip адреса — 178.124.157.86. Это был не единичный случайный заход а вполне закономерный и регулярный. Следовательно, адрес статичный, и это очень помогло расследованию. Кроме того, раз адрес постоянный, то можно сделать вывод, что всеми этапами хакерской атаки занималась одна группа.

Удалось выяснить, что Максим Чернявский (известен тем, что его завербовал «Дима из КГБ») получил задание по установке вируса RSM на компьютер Вячеслава Дианова. Именно так расследование и вышло на след КГБ.

Если вы хотите убедиться, что за вами не следят никакие спецслужбы, то вот вам инструктаж, как найти и удалить некоторые вирусы, которые были использованы КГБшниками:


URF Stealer
Это своего рода троян. Чаще всего опознаётся антивирусами под именами: "Trojan:Win32/Anomaly" (Microsoft), "Trojan.Khil.23905" (VBA32), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG).

Размер вируса равен 52,736 байт, а его MD5: 71f950f31c15023c549ef4b33c2bf1e0

Принцип работы слегка отличается от предыдущего трояна. Этот собирает данные о паролях из кеша ваших программ, таких как: Google Talk, Internet Explorer, Opera, Total Commander, Firefox, Chrome, FileZilla, Miranda, Pidgin, The Bat!, Mail.ru Agent, QIP, ICQ, MSN Messenger и д.р. Кроме того Stealer сохраняет основную информацию о вашей системе. Все украденные данные помещаются в ufr_files, а эта папка создаётся в той же директории где и был запущен вирус. После чего отправляет данные на почтовый ящик владельца вируса и самоуничтожается. В системе не где не оставляет вредных следов, так что и особая чистка не требуется.

Однако определить: был ли не званый гость — можно.
Об этом свидетельствует: папка utr_files в которой лежат *.ds, *.dat, *.bin; а также prefech-файл, который находится в :\Windows\Prefetch\ABGREYD.EXE-*.pf.

Если этот вирус был у вас, то не забудьте сменить все пароли, которые у вас были сохранены в кэше.

RMS Trojan
Как не сложно догадаться по названию — это опять троян. Как и выше названные вирусы, этот тоже плохо определяется антивирусом. Дело в том, что RMS использует в своём коде компоненты, программ, которые являются вполне легальными. Однако, иногда антивирусы могут определить инсталлятор, как: "Worm.Autorun-8201" (ClamAV), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32), "Trojan.Generic.6178206" (Gdata).

Размер троянца 2,782,938 байт, а MD5: 3299b4e65c7c1152140be319827d6e04.

При активации вирус создаёт скрытую папку :\Windows\system32\catroot3 и копирует туда различные компоненты для удалённого управления компьютером. После чего правит системный файрвол. Затем создаёт файл :\Windows\system32\de.exe, который тоже скрытый. В конце запускает свою программу по удалённому управлению и, довольный свой работой, умирает (удаляется).

Наличие вируса легко определить по двум новым процессам: rfusclient.exe или rutserv.exe. Так же если вы найдёте скрытую папку :\Windows\system32\catroot3 или файл :\Windows\system32\de.exe, то значит за вами следят. А ещё вирус создаёт новый сервис с названием TektonIT — R-Server.

Управление заражённым компьютером происходит по особому протоколу (в основе лежит стандартный TCP), используя сервера от компании Teton-IT, которые предоставляются бесплатно.

Вирус отличается тем, что сам создаёт файл, через который его можно полностью удалить — ndows\system32\de.exe. Запуск этого файла полностью очистит вашу систему, включая записи реестра, от вредоносной программы.

После удаления вируса, как обычно, необходимо сменить все свои пароли. Однако этого мало. Так как компьютер находился полностью под контролем хакера, то, скорее всего, он заразил вас ещё 10-ком вирусов. Поэтому постарайтесь, как можно быстрее переустановить систему... лучше всего с форматированием.
Вернуться к началу
Контакты для связи с пользователем:
telegram-icon
Жулики! Подписывайтесь на Легал канал в Telegram! @legalpublic
Подписаться

Репутация: 0    

 I.V.Stalin


Забанен


Zареган: 04.12.2009 (2875 дней)
Сообщения: 599

СообщениеДобавлено: Вторник Января 17, 2012 21:46 pm    Заголовок сообщения: Ответить с цитатой

AntonXxX
Так это в Белоруссии.
Пусть Батька давит гадину,правильно все делают.
Это он еще с ними по мягкому...
Вернуться к началу
Контакты для связи с пользователем:

Репутация: 3    

 Damask

НЕ ПРОВЕРЕН


Zареган: 09.09.2009 (2961 дней)
Сообщения: 1611

СообщениеДобавлено: Вторник Января 17, 2012 22:21 pm    Заголовок сообщения: Ответить с цитатой

I.V.Stalin
Иосиф Виссарионович, выпей ещё йаду, в 53-м, видимо, мало было.
Вернуться к началу
Контакты для связи с пользователем:

Репутация: 0    

 I.V.Stalin


Забанен


Zареган: 04.12.2009 (2875 дней)
Сообщения: 599

СообщениеДобавлено: Вторник Января 17, 2012 22:24 pm    Заголовок сообщения: Ответить с цитатой

Damask
Не дождешься.
Батька страну держит,последний оплот на просторах бывшего СССР.
Какие то у вас двойные стандарты.
Вернуться к началу
Контакты для связи с пользователем:

Репутация: 0    

 ponetre

НЕ ПРОВЕРЕН


Zареган: 29.05.2011 (2334 дней)
Сообщения: 56

СообщениеДобавлено: Понедельник Января 30, 2012 16:04 pm    Заголовок сообщения: Ответить с цитатой

Код:
КГБшные хакеры использовали три вируса: RMS (Remote Manipulator System ), UFR Stealer (этот вирус распространяется через флешку) и Keylogger Detective. Самое интересное, что это не какие-то сверх засекреченные вирусы, а вполне обычные и их может приобрести любой желающий всего за 20-30 долларов.

Вот это вот ну просто лол! Скоро даже мартышки будут юзать собственные руткиты, а тут кгб))
Вернуться к началу
Контакты для связи с пользователем:
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов Легально | Онлайн -> СМИ Часовой пояс: GMT + 4
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы можете вкладывать файлы
Вы можете скачивать файлы