Сегодня Вторник | Дата: 26.11.2024 | Время: 23:58
Последние новости
Канобувости, 73. Самые ожидаемые игры 2011 года
Добавил: axa
Всего комментариев: 0
C новым годом.
Добавил: axa
Всего комментариев: 0
Анонс игры Call of Juarez: The Carte
Добавил: visa
Всего комментариев: 0
Новые темы форума
цуапцуапцйупацупуцпа
Ответил: expertdmytro
Всего ответов:
цуапцуапцйупацупуцпа
Ответил: expertdmytro
Всего ответов:
цуаацуа
Ответил: expertdmytro
Всего ответов:
Лучшие пользователи
axa
Логин: axa
Репутация: 153
Группа: Администраторы
MrMarik
Логин: MrMarik
Репутация: 102
Группа: Пользователи
Kuubi55
Логин: Kuubi55
Репутация: 97
Группа: Пользователи
Здравствуй, Гость! Авторизуйся или зарегистрируйся
Цвет фона
Новости форума

sata.at.ua - сайт посвященный играм, здесь вы сможете узнать о  самых свежих новостях
и скачать все что требуется для игр: патчи, no CD/DVD, моды, карты, читы, трейнера,
так же есть форум на котором вы можете получить информацию о прохождении,
создании серверов, установке читов и модов.            
Администрация:
Любое копирование и распространение представленных здесь материалов
без указания источника и активной ссылки на sata.at.ua запрещено.
Игру на рабочий стол

Навигация
Наши игры
Топ комментариев
Календарь
«  Апрель 2011  »
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
252627282930
Посетители сегодня
Наш опрос
Всего ответов: 166
Кто вы?

Партнерки
Linkum, рекламные ссылки с форумов
Мои контакты



Что может скрывать в себе картинка

Зараженные картинки

Pinch – одна из легендарных вредоносных программ Рунета. С середины 2003 года 
этот троянец доставляет регулярные проблемы антивирусным компаниям. Его
исходные коды модифицировали и правили многие начинающие
злоумышленники, а базы паролей, украденные с его помощью, постоянно
появлялись на черном рынке. Не удивительно, что именно этот троянец
«всплыл» в одном из прошедших инцидентов, связанных с фотохостингом
компании Google.


В процессе слежения за 
сайтами, используемыми злоумышленниками для взлома и распространения
вредоносных программ, мы наткнулись на множество ресурсов, зараженных
одинаковыми по коду скриптами. В начале заглавной страницы каждого
такого сайта находится специальный зашифрованный скрипт. Анализируя
браузер и набор дополнений к нему, скрипт формирует специальный запрос
к серверу злоумышленника для выбора уязвимости, которая будет
использоваться для проникновения на компьютер посетителя зараженного
сайта.


Пример кода заглавной страницы зараженного сайта

На момент исследования злоумышленники использовали уязвимости только 
в браузерах Internet Explorer 6, 7 и QuickTime. После их успешной
эксплуатации загружался следующий код:



Код, отрабатывающий после успешной реализации уязвимостей 

Цель этого кода – обращение к фотохостингу компании Google и загрузка специально сформированной картинки: 


Картинка, размещенная на фотохостинге Google 

После успешной загрузки данной картинки код расшифровывает
специально сформированный «довесок» к ней, который оказалтся троянцем
Trojan-Dropper.Win32.Dropirin.ah. При этом в коде картинки по
циклически повторяющейся последовательности байт, не характерных для
данных формата GIF, хорошо видно расположение данного троянца.


Содержимое кода картинки с данными, не характерными для формата GIF 

После расшифровки и запуска троянца-дроппера, на компьютере жертвы
устанавливается программа Backdoor.Win32.WinUOJ.pz, предназначенная, в
том числе, для скрытой загрузки и установки других вредоносных
программ. Работа бота с командным центром ведется с использование
шифрования, при этом сами центры регулярно меняются и находятся в
различных регионах мира – в США, Сингапуре, Москве и т.д.

Пример команды для загрузки дополнительных вредоносных программ, полученной Backdoor.Win32.WinUOJ.pz от контрольной панели 

Одной из особенностей данного бота является загрузка дополнительных
вредоносных программ, упакованных аналогичными способами в те же
GIF-картинки.


Пример обновлений, рассылаемых контрольным центром для ботнета, с использованием GIF-картинок

Одной из вредоносных программ, установленной злоумышленниками на
строящийся ботнет, стала программа Trojan-PSW.Win32.LdPinch, обладающая
накопленными за свою почти семилетнюю историю развития и разработки
обширными возможностями для кражи конфиденциальной информации с
зараженного компьютера.

Итого:

Использование GIF-файлов для заражения пользователей и передачи 
данных в строящемся ботнете является одной из самых находчивых
вредоносных техник за последнее время. При наблюдении за сетевым
трафиком компьютера процесс заражения и работы вредоносной программ
невозможно определить стандартными средствами, так как со стороны это
выглядит как загрузка обычных картинок при посещении обычного сайта.
Формат GIF-файла и отсутствие каких-либо специальных проверок на
фотохостингах дают злоумышленникам прекрасные возможности: экономить на
покупке или аренде обычно выделенных серверов и практически анонимно
строить/обновлять свои ботнеты. В этих условиях проблему можно решить,
например, использованием техники перекодирования пользовательских
картинок, аналогично тому, как это происходит с видеороликами на том же
youtube.com.
 

 



Просмотров: 685 | Добавил: axa | Дата: 26.04.2011
Комментарии
Всего комментариев: 0
Гость

Сообщения:


Время:23:58


Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или авторизуйтесь!

Мини-чат
Реклама
crysis 2
Доска объявлений
Совет:
Для корректного отображения сайта рекомедуется использовать браузер Mozilla FireFox последней версии.
Наши друзья
Скрипты и шаблоны для uCoz www.liex.ru - автоматическое размещение статей с прямыми ссылками Top. Cs-Ya.Ru Читы для CSS, CoD, BO, CS 1.6, WoW, Crysis, MOH, DODS, WC3 Читы, aimbot, wallhackФорум Читов Buk-Cracks.ru - NoDVD/CD, русификаторы, патчи от буков :) Скачать без регистрации и совершенно бесплатно! Игровой сервер PlayGround.ru NODVD, кряки, русификаторы скачать бесплатно Шаблоны для Ucoz, скрипты - design-studio | Всё для uCoz, шаблоны.

Добавиться
Наши теги

Для красивого отображения Облака
необходим
Adobe Flash Player 9
или выше
Скачать Adobe Flash Player

Канал сайта
ytube
Мы в контакте
Полезные ссылки
Поддержи наш сайт
Помогли мы вам - Помоги и ты нам!



Есть вопросы? пиши!

Email:
axa@sata.at.ua
Статистика
Яндекс.Метрика

Онлайн всего: 13
Гостей: 13
Пользователей: 0
Cейчас на сайте
Revision by axa
Copyright © 2010 |