Новости троянологического толка

Xakep, номер #033, стр. 033-057-1

DEiL aka TBAPb (deil@real.xakep.ru)

Привет, брателло! Сейчас я тебе поведаю о важном стратегическом материале - расскажу о некоторых из новинок мира троянописания, которые ежедневно, как грибы после дождя, появляются на просторах Интернета. Садись и слушай внимательно.

phAse zero 1.0

phAse zero - бета версия очередного бэкдора с интересной особенностью: его серверная часть каждый раз меняет размер при вызове клиентом.

Данное чудо программерской мысли имеет вполне стандартный набор функций, а именно: скрытый или видимый запуск прог на удаленной машине, все функции работы с файлами, включая просмотр и закачку на удаленный комп; есть возможность работать с системным реестром, способствующая дальнейшей оптимизации и удалению ненужных (по твоему компетентному мнению) частей; также существует возможность залочить сервак или совсем прибить, чтоб люди в черном не нашли :).

Конечно, данная программа имеет не очень много функций, но, по словам авторов, в полной версии будут доступны такие фишки, как: клавиатурный шпион, проигрыватель Media-файлов, возможность написания и подключения плагинов, а также многое другое. Что ж, подождем чуток и посмотрим, выполнят авторы свое обещание или нет.

SubSeven DEFCON8 2.1

О появлении на свет представленного подзаголовком трояна объявила всему миру компания Internet Security Systems, сказав, что данный зверь уже поразил около 800 компьютеров в США. Объявила и заодно поставила трояну оценку "4" по пятибалльной шкале опасности. По мнению Криса Роуленда, главы X-Force, исследовательской группы компании ISS, с распространением этого монстра под угрозу ставится безопасность всего Интернета. Так почему же американцы столь обеспокоены появлением DEFCON-трояна? Причина кроется в способах использования зловредного троя: троянщики юзают зараженные системы для тестирования новых методик и стратегий DoS атак. Суть смертоносных нападений состоит в том, что одновременно с кучи ранее взломанных компов ("зомби", зомбаков по-нашему :) на сайт-жертву направляется нехилый поток ложных запросов, блокируя доступ для нормальных посетителей. Известно, что этот монстр, в отличие от предыдущих версий, использует для работы порт 16959 (новость дня, просто :).

Goga

Одна известная российская компания, занимающаяся разработкой антивирусных программ, сообщила об обнаружении троянской программы Goga, использующей в качестве носителя - файлы в популярном формате RTF (rich text format), который до сих пор считался неуязвимым для вирусов. Goga использует известную брешь в системе безопасности текстаписателя Microsoft Word, которая позволяет злоумышленнику незаметно для владельца компьютера запустить вредоносные коды сразу же после открытия зараженного документа. Если на компе не установлен нужный патч, то, при чтении зараженного файла формата RTF, MS Word загрузит с удаленного сайта шаблон, содержащий вредоносный макрос. Он, в свою очередь, извлечет из двоичной части RTF-файла дополнительную утилиту (круто, правда? :), которая тырит логины и пассы. После нахождения пассвордов пишется специальный текстовый файл под их хранение. Далее Goga запускает процедуру, которая публикует полученный текстовый файл на сайте общедоступных гостевых книг :), откуда автор троянской программы периодически получает похищенную информацию. Так что пользуйся блокнотом и почаще заглядывай на различные сайты с гостевухами :).

Содержание  Вперед на стр. 033-057-2

ttfb: 8.6429119110107 ms