• XSS.stack #1 – первый литературный журнал от юзеров форума

malware Zeus trojan.

Отслеживать
Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с цифровой подписью, практически полностью совпадающей с подписью антивирусной компании «Лаборатория Касперского». После внимательного изучения подписи специалисты Trend Micro выявили явные расхождения между подделкой и оригиналом. Так, помимо того, что поддельная подпись включает неверное значение хеш-функции, она оказалась просроченной. Наиболее вероятно, что для создания фальшивки злоумышленники использовали подпись утилиты ZbotKiller от «Лаборатории Касперского», полагают в Trend Micro. В ходе дальнейшего изучения обнаруженных файлов специалистам Trend Micro удалось идентифицировать зловредов. Ими оказались модификации печально известного трояна ZeuS (ZBOT) – TSPY_ZBOT.BWP, TROJ_ZBOT.BYM и TROJ_ZBOT.KJT. Примечательно, что это не первый случай подделки злоумышленниками легальных цифровых подписей. Так, червь Stuxnet распространялся с подписью корпорации Realtek Semiconductors, а его более поздняя модификация – с подписью компании JMicron Technology. Специалисты Trend Micro уже оповестили об инциденте «Лабораторию Касперского». Источник: http://forum.prologic.su/index.php?s=&show...indpost&p=33880
 
Может есть хорошие альтернативы зевсу на opensc. или тут?
на opensc вообще все формграбберы запрещены.
пачка зевсов выложена на эксплоит.ин, и потенциально протрояненный кодером спайай тут :)
 
пик популярности зевсов на зарубежных форумах прошел
зы. не юзай конфигураторы 1.3.х.х от FreeZS и всё будет хорошо. 1.2.7.х и 1.2.10.х вроде чистые
 
перерыл много чего и перепробовал тоже достаточно много вариантов но ни чего не помогает .
подскажите плиз, как можно спастись от зеустрекеров ?
можно в ПМ
заранее благодарен
 
Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с цифровой подписью, практически полностью совпадающей с подписью антивирусной компании «Лаборатория Касперского». После внимательного изучения подписи специалисты Trend Micro выявили явные расхождения между подделкой и оригиналом. Так, помимо того, что поддельная подпись включает неверное значение хеш-функции, она оказалась просроченной.
довольно интересная идея, кстати. Видел недавно такой бинарник на зеустрэкере, подпись ничем не отличается от обычной. То что подпись просроченная, не самое важное, просроченные подписи часто встречаются даже у крупных компаний.
Есть идеи как можно скомпилировать подобную подпись? (не касперского, это уж слишком явно).
 
Пожалуйста, обратите внимание, что пользователь заблокирован
2smartRYX
она как бы не просроченная, она как бы совсем невалидная. Просто ребята в оверлей скопировали подпись и установили rva/size необходимые в DataDirectory.
 
с помощью любого хекс редактора =) желательно с возможностью парсинга и патчинга PE хидера.
ЗЫ Да и не обольщайтесь такого говна я много видел. Трендмайкро просто пропиарится решили на пустом месте =\ Они даже почти всю правду сказали, но так, чтобы несведующий человек повелся =)
 
другой варинт: есть валидный PFX(Personal Information Exchange) файл - используется для цифровой подписи файлов. Для создания подписи используем microsoft SignTool.exe, остается только подписать файл. Но при этом еще нужно указать пароль, которым был зашифрован данный PFX сертификат. Вопрос: можно ли вытащить этот пароль из PFX/PKCS#12 файла?
 
ну необязательно брать именно мелкософтовские серты. Найти пароль не невозможно. В самой реализации стандарта PFX/PKCS#12 имеются слабые места. Есть программа ElcomSoft Distributed Password Recovery, которая также поддерживает .pfx формат. Неизвестно конечно, сколько времени это может занять.
 
Подскажите как зделать чтоб админка стояла на одном хосте а логи писались на другой,при помощи файла редиректа redir.php
заранее спасибо
Кто поможет дам на пиво
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх