Вирусы — штука неприятная и в большинстве случаев неожиданная. Будучи уверенным, что я знаю абсолютно все трюки и обманки злоумышленников, я даже не думал, что когда-нибудь попадусь на такое. Именно по этой причине я отключил абсолютно все встроенные в Windows антивирусные средства и не стал устанавливать сторонние. Так и прошло несколько лет, я действительно спокойно пользовался компьютером и не знал горя, пока не настал тот день, когда вредоносное ПО всё-таки настигло мой компьютер.
Telegram-канал создателя Трешбокса про технологии
Скупой платит дважды
Как бы то ни было странно, началось всё с того, что мой друг заинтересовался одной малоизвестной программой, которая была способна растянуть видео до большего разрешения при помощи нейросетей. Так как в тот момент был доступен только мой компьютер, друг решил скачать эту программу на него с какого-то непонятного сайта. Это и вылилось в проблему под названием «Стиллер».
КАК СДЕЛАТЬ СОБСТВЕННЫЙ СТИЛЛЕР? | СТИЛЛЕР СВОИМИ РУКАМИ
Так выглядит тот сайт. Обычно такие заглушки выглядят аляповато и выдают себя мгновенно, но здесь друг не успел обратить внимания на различные мелочи, так как в целом сайт казался нормальным
Сама программа находилась в запароленном архиве, что является обычной практикой для пиратских сайтов, поэтому и на это мы особого внимания не обратили. После распаковки архива и запуска программы (конечно же, с правами администратора) компьютер начал сильно шуметь, а на экране происходило адовое месиво из огромного количества командных строк cmd.exe и PowerShell.
Происходило что-то примерно похожее | ionos
После этого я принудительно перезагрузил компьютер, так как штатными средствами сделать это не представлялось возможным, и… просто продолжил им пользоваться. Да, тогда я ещё не знал про стиллеры и думал, что это очередной установщик хлама. Какого же было моё удивление, когда хлама на компьютере я не обнаружил — я чётко видел, что программа пыталась что-то установить, но в итоге в списке программ ничего нового я не заметил. Сразу же после произошедшего я поспешил удалить тот зловещий файл и всё, что он оставил после себя. Остатки находились преимущественно в папке Temp.
Все эти файлы со странными названиями — дело рук вируса
СОЗДАЛ СВОЙ СТИЛЛЕР И РАСПИАРИЛ ЕГО! СКОЛЬКО АККАУНТОВ ПОПАЛОСЬ? — GTA SAMP
Успокоившись и понадеявшись, что с вредоносом покончено, я продолжил заниматься своими делами. К сожалению, не получилось. Через 15 минут после перезагрузки вирус снова дал о себе знать — опять огромное количество окон командной строки. И именно после этого я всерьёз занялся чисткой компьютера и стал копать информацию о вирусе, который подхватил.
Принцип работы стиллера. Всё оказалось хуже, чем я ожидал
Стиллер, как понятно из прямого перевода этого слова, крадёт. Существуют разные стиллеры с разными функциями, злоумышленники могут создавать разные сборки для разных целей, но далее я собираюсь описать всё, что они умеют, так как никогда не знаешь, какой конкретно вирус ты подхватил.
В первую очередь, конечно же, после запуска файла стиллер проверяет, находится он в операционной системе или в песочнице. Для этого он применяет функцию анти-отладки из WinAPI и всё равно проникает в изначальную среду выполнения, поэтому крайне не рекомендуется проверять подобные вирусы даже в виртуальных машинах. Затем, как ни странно, стиллер крадёт данные. Давайте по порядку.
Браузеры
Код, крадущий пароли из Google Chrome | Habr
Стиллер умеет красть множество данных из Chromium-браузеров, в их числе: пароли, закладки, история, куки-файлы, автозаполнение, список скачанных файлов. Из Gecko-браузеров (основанных на движке Firefox) обычно можно украсть только закладки и куки. Раньше я думал, что нельзя просто так пошариться в файлах и вынуть оттуда мои пароли — там же всё зашифровано. Оказалось, я был в корне не прав. Конечно, данные там может быть и зашифрованы, только вот к ним очень легко получить доступ через библиотеку SQLite3, которой активно пользуются не только программисты, но и злоумышленники.
Системная информация
Так выглядит лог стиллера | CryptoWorld
Разные стиллеры собирают разную информацию, но в целом они могут узнать буквально всё. Помимо данных со снимка экрана выше, стиллеры крадут информацию о сетях и пароли к ним, IP, ключ активации Windows и делают снимок экрана жертвы. Я до сих пор так и не понял, для каких целей злоумышленнику могут пригодиться пароли от моего Wi-Fi или информация о том, какая в моём ноутбуке видеокарта.
Файлы и токены
Компьютер отображается мой, но вот геопозиция и IP-адрес — чужие
В целом стиллер может выкачать всё, что захочет. Но, очевидно, большие по объёму файлы скачивать нет никакого смысла, так как не факт, что они окажутся полезными и дойдут до места назначения. Поэтому, зачастую, стиллер копирует всю папку AppData и помимо неё сессии Telegram и Discord из подпапки Roaming.
Именно такой способ позволяет заходить в ваш аккаунт Telegram без необходимости авторизации по номеру и даже ввода пароля двухфакторной аутентификации. Если внедрить украденные файлы сессии (иначе говоря, — токен) в другой клиент Telegram, сервер будет думать, что в аккаунт заходят с того же устройства, что и раньше. Помимо этого стиллер целенаправленно крадёт изображения, документы, файлы с расширением, присущим исходным кодам (.py, .cs, .cpp и так далее), а также сессии из игровых приложений (Steam, Uplay, Battle.net и, возможно, другие).
Остальные возможности
Примерно в таком виде злоумышленник получает собранную стиллером информацию | Habr, CyberForum
Помимо вышеописанного, стиллеры могут содержать в себе следующие функции:
- Кража банковских и криптовалютных кошельков (применяется редко, так как особенно строго преследуется по закону).
- Установка кейлоггера (считывание информации с клавиатуры и передача её злоумышленнику, умеет распознавать программы, в которых вводится текст).
- Установка клиппера (подмена содержимого буфера обмена на другой, как пример — подмена адресов в браузере).
- Фото с веб-камеры.
- Запись структуры директорий.
- Заражение всех .exe-файлов с целью навсегда остаться на компьютере жертвы.
Последнее точно было в попавшемся мне стиллере, так как даже после огромных усилий по очистке компьютера, в моём Telegram появлялись чужие геопозиции и IP-адреса. При этом новые пароли, которые я установил для всех своих аккаунтов, украдены не были.
Как очевидный итог — мои данные разлетелись по всему интернету
Такие сообщения я стал получать регулярно
Конечно же, почти сразу после случившегося я сменил все пароли на важных мне аккаунтах и стал отслеживать почту на предмет странных входов и запросов сброса пароля. Результат не заставил себя долго ждать. На аккаунтах «ВКонтакте», которые не представляли для меня особую ценность и остались со старым паролем, появился спам непристойного характера и подписки на странные группы.
Как ни странно, в Instagram ничего не произошло — то ли тот аккаунт не представлял особой «спамерской» ценности, то ли его просто не успели как следует настроить для бота. Также я обнаружил попытки входа в Dropbox, Mail.ru и MEGA. В общем, судя по всему, ценность представляют аккаунты большинства популярных сайтов и социальных сетей.
Вредоносное сообщение, разосланное моим аккаунтом
О своей подозрительной активности в Discord я узнал от знакомых, которые начали писать мне по поводу случившегося. С моего аккаунта было разослано сообщение с вредоносной ссылкой по всем личным чатам и серверам — конечно, было стыдно перед одногруппниками и коллегами. Увы, в Discord нельзя просто закрыть доступ ко всем активным сессиям кроме одной, как в Telegram, поэтому пришлось в мороз и на ходу менять пароль прямо со смартфона (что не очень-то и удобно). Обычно смена пароля сбрасывает все активные сессии, так что если вы видите подозрительную активность на каком-то аккаунте — наиболее быстрым и действенным шагом будет именно это действие.
Единственный след, который оставили злоумышленники — одна введённая команда в Spam Info Bot
В Telegram, как не странно, ничего не произошло. Постоянно заходили разные люди, но ничего подобного произошедшему в Discord мной замечено не было. Вполне вероятно, что несколько разных людей успели выкачать архивы с моими данными, но прошёл почти месяц с тех пор и я до сих пор не получил угроз и шантажа.
Главный урок, который я извлёк
После произошедшего я всерьёз задумался о безопасности своего компьютера и о том, как избежать подобного в дальнейшем. Конечно, это первый такой случай за много лет, но даже так эта ситуация заставила меня сильно нервничать и потратить несколько дней на разбирательства и устранение последствий. В следующий раз может получиться так, что времени заниматься подобным просто не будет и мне пришлось бы идти на компромиссы.
В первую очередь — антивирус
Раньше я был убеждённым противником антивирусов, так как был уверен, что подхватить вирус настолько сложно, что приходится делать это чуть ли не специально. Теперь же я всегда держу на готове встроенный антивирус Windows, который с выходом десятой версии операционки очень похорошел и стал надлежащим образом выполнять свою работу. Но ещё более лучшим решением для простых пользователей будет установка стороннего проверенного антивируса, и здесь стоит помнить, что лучший — не всегда популярный. Изучите отзывы и обзоры антивирусного ПО и выберите то, которое сочтёте подходящим.
Хотя бы проверяйте файлы через VirusTotal
Тот самый файл, который скачивал друг, вызвал тревогу у 23-ёх антивирусов
Перед запуском подозрительных файлов, скачанных из сомнительных источников, пропускайте их через VirusTotal. Это удобный бесплатный сервис, который использует вирусные базы огромного количества антивирусов, тем самым являясь, по сути, самым мощным антивирусным средством, существующим на данный момент. Им пользуются многие сайты, доказывая, что их файлы безопасны, в том числе и Trashbox.
Помимо вышеописанного, после смены паролей нужно отказаться от привычки пользоваться автозаполнением. Именно из-за этой функции и утекают пароли — если на серверах Google они, скорее всего, в безопасности, то при хранении локально на компьютере оказываются доступны всем желающим.
Материалы по теме:
- Теперь не боюсь за Windows: точки восстановления создаются каждый день. Вот как это настроить
- Идеальный пароль от девушки, который бесполезно подсматривать. Устанавливаем на Android
- Умная колонка в доме — огромный риск. Особенно если купить маленькую модель
- Огромная ошибка — не ставить пин-код на SIM-карту. Чем это грозит
- Мы — добыча для хакеров сразу с 5 уязвимыми местами. Но каждое легко защитить
Telegram-канал создателя Трешбокса про технологии
Последнее изменение: 27 января 2022, 09:59
aerodinamik2020 , 12 января 2022, 23:06 # (. )
ржу с вас, сами лохи вирусни с лапуховых сайтов наставят (и слепые увидят, еще и запароленное), потом рекомендует прожорливое д#рьмо под названием антивирь, позор и срам. Рутор инфо, тапочек нет, рутрекер орг, рслоад, торрент геймс нет — проверенные ресурсы.
toddnach , 12 января 2022, 23:09 # (. )
И я так думал 🙂
aerodinamik2020 , 12 января 2022, 23:12 # (. )
я не лазю по неизвестным ресурсам и не запускаю подозрительные исполняемые файлы, уязимости перекрыты через avz и другие утилиты.
Kot0S , 13 января 2022, 01:24 # (. )
Смешной, твой говнорутор в первых рядах по распространению вирусов)
А такие умники как ты, словя жирный вирус серьёзно ломающий систему, потом сами же бегут вперёд паровоза оплачивать подписку нода 32)
micdemp666 , 13 января 2022, 10:40 # (. )
репак ми еще
studen_ich , 14 января 2022, 19:38 # (. )
Винда как вирусная ос
tutamon , 13 января 2022, 09:35 # (. )
По мне так майки заплатками от мелдаун и спектр снизили производительность больше чем требует антивирус. И надо постараться откл. защитник так чтобы он не возобновлял работу.
Astramak , 13 января 2022, 10:22 # (. )
а почему тут так часто в каментах речь идет о нод32? типа самый лучший антивирус или что?
toddnach , 13 января 2022, 11:14 # (. )
luxdixxxi , 13 января 2022, 23:10 # (. )
Лошара ми кантара.
Alvarius , 14 января 2022, 05:19 # (. )
Где комменты о том, что во всем правообладатели виноваты, если бы не их нежелание выпускать софт на одном только энтузиазме, то никто бы не искал кейгены всякие лол
tCode , 14 января 2022, 09:30 # (. )
Сначала скачивал и ставил «друг», но позже автор пальнулся
«Тот самый файл, который я скачивал, вызвал тревогу у 23-ёх антивирусов»
toddnach , 14 января 2022, 13:46 # (. )
Интересно, как главным объектом обсуждений стал факт скачивания вируса 🙂 Рассказ об этом занимает один пункт
studen_ich , 14 января 2022, 19:34 # (. )
Да я сам в шоке эту проблему решили 60 лет назад сделав антивир на микрокоде процика но капитализм делает свае дело
andbna , 14 января 2022, 17:13 # (. )
Пхах, разумеется антивирус будет не лишним, главное контролировать его(настроить), что бы он каждый день судорожно не сканировал диск на наличие вирусов и у вас не будет проблем от него.
studen_ich , 14 января 2022, 19:27 # (. )
Вот пошаговая инструкция что делать в таких ситуэйшанах
youtu.be/_m-4ja9NZuY
eugeneshilenko , 14 января 2022, 23:31 # (. )
Автор, что за чушь ты несёшь?)
Ты просто неопытный пользователь, который решил что он крутой системный админ. Нагуглил инфы и сделал ненужный пост, употребляя умные слова, значения которых ты сам не знаешь. Пишу, потому что прочитал статью и смеюсь — так что принимай критику нормально. Незачем дезинформировать людей. Специально создал аккаунт тут, ради этого коммента.
Давай разберём подробно.
1) Сутки чистил компьютер — чел, после такого лучше ставить начисто Винду, или пройтись нормальным антивирусом, после чего выполнить проверку целостности системных файлов винды, промониторить реестр. То, что ты чистил сутки — только из-за твоей некомпетентности в вопросе. В крайнем случае, есть безопасный режим. Чистая Винда с дальнейшим восстановлением данных из бекапа старой ОС — заняло бы пол дня максимум, с установкой всего (всего!) софта.
2) Сайт казался нормальным — в каком месте?) Любой человек, который имеет хоть малейшие знания об ИБ скажет, что страничка не вызывает ну никакого доверия, слишком уж она пустая, простая. Не говоря уже о том, что если сайт не знаешь — не качай с него ничего) С проверенных источников надо, эх.
3) Код, крадущий пароли из Chromium-основанных браузеров. Ты действительно думаешь, что злоумышленник, который выпустил в прод свой вирус — оставит комменты на русском? Совершенно надёжно и безопасно, как швейцарские часы, бл#ть. Нашёл в интернете пример? Так укажи в статье, что это просто скрин-пример.
4) Посмотри на характеристики своего компа. (а точнее, ноутбука, правильно?) О каком запуске программ с нейронками идёт речь? Чёрт, да есть куча онлайн-сервисов с нейронками, хоть по апскейлу видео-фоток, так и по полной генерации чего-то с нуля.
5) Стиллер может содержать в себе функции. — чё? Это тогда не стиллер, а более продвинутый вирус. Работа стиллера в том, чтобы похитить данные as is — и всё, ничего более. От слова Steal — воровать, stealer — похититель.
6) В телеграмме ничего такого не произошло — потому что читай документацию, смотри инциденты, которые уже имели место быть. Могут только мониторить переписки, а если поставил локальный и облачный пароль — то вообще ничего.
Могу и подробнее расписать, дать рекомендации, но есть ли смысл? Статья чисто о том, как кто-то думал что знает больше, чем обычные пользователи, а оказалось немножко не так)
Добра всем, и меньше подобных инцидентов.
Источник: trashbox.ru
Пишем стилер. Как вытащить пароли Chrome и Firefox своими руками
Ты наверняка слышал о таком классе зловредных приложений, как стилеры. Их задача — вытащить из системы жертвы ценные данные, в первую очередь — пароли. В этой статье я расскажу, как именно они это делают, на примере извлечения паролей из браузеров Chrome и Firefox и покажу примеры кода на C++.
WARNING
Весь код в статье приводится исключительно в образовательных целях и для восстановления собственных утерянных паролей. Похищение чужих учетных или других личных данных без надлежащего письменного соглашения карается по закону.
Итак, браузеры, в основе которых лежит Chrome или Firefox, хранят логины и пароли пользователей в зашифрованном виде в базе SQLite. Эта СУБД компактна и распространяется бесплатно по свободной лицензии. Так же, как и рассматриваемые нами браузеры: весь их код открыт и хорошо документирован, что, несомненно, поможет нам.
В примере модуля стилинга, который я приведу в статье, будет активно использоваться CRT и другие сторонние библиотеки и зависимости, типа sqlite.h. Если тебе нужен компактный код без зависимостей, придется его немного переработать, избавившись от некоторых функций и настроив компилятор должным образом. Как это сделать, я показывал в статье «Тайный WinAPI. Как обфусцировать вызовы WinAPI в своем приложении».
Что скажет антивирус?
Рекламируя свои продукты, вирусописатели часто обращают внимание потенциальных покупателей на то, что в данный момент их стилер не «палится» антивирусом.
Тут надо понимать, что все современные и более-менее серьезные вирусы и трояны имеют модульную структуру, каждый модуль в которой отвечает за что-то свое: один модуль собирает пароли, второй препятствует отладке и эмуляции, третий определяет факт работы в виртуальной машине, четвертый проводит обфускацию вызовов WinAPI, пятый разбирается со встроенным в ОС файрволом.
Так что судить о том, «палится» определенный метод антивирусом или нет, можно, только если речь идет о законченном «боевом» приложении, а не по отдельному модулю.
Chrome
Начнем с Chrome. Для начала давай получим файл, где хранятся учетные записи и пароли пользователей. В Windows он лежит по такому адресу:
C:Users%username%AppDataLocalGoogleChromeUserDataDefaultLogin Data
Чтобы совершать какие-то манипуляции с этим файлом, нужно либо убить все процессы браузера, что будет бросаться в глаза, либо куда-то скопировать файл базы и уже после этого начинать работать с ним.
Давай напишем функцию, которая получает путь к базе паролей Chrome. В качестве аргумента ей будет передаваться массив символов с результатом ее работы (то есть массив будет содержать путь к файлу паролей Chrome).
#define CHROME_DB_PATH «\Google\Chrome\User Data\Default\Login Data» bool get_browser_path(char * db_loc, int browser_family, const char * location) < memset(db_loc, 0, MAX_PATH); if (!SUCCEEDED(SHGetFolderPath(NULL, CSIDL_LOCAL_APPDATA, NULL, 0, db_loc))) < return 0; >if (browser_family == 0) < lstrcat(db_loc, TEXT(location)); return 1; >>
char browser_db[MAX_PATH]; get_browser_path(browser_db, 0, CHROME_DB_PATH);
Давай вкратце поясню, что здесь происходит. Мы сразу пишем эту функцию, подразумевая будущее расширение. Один из ее аргументов — поле browser_family , оно будет сигнализировать о семействе браузеров, базу данных которых мы получаем (то есть браузеры на основе Chrome или Firefox).
Если условие browser_family == 0 выполняется, то получаем базу паролей браузера на основе Chrome, если browser_family == 1 — Firefox. Идентификатор CHROME_DB_PATH указывает на базу паролей Chrome. Далее мы получаем путь к базе при помощи функции SHGetFolderPath , передавая ей в качестве аргумента CSIDL значение CSIDL_LOCAL_APPDATA , которое означает:
#define CSIDL_LOCAL_APPDATA 0x001c // Local SettingsApplicaiton Data (non roaming)
Функция SHGetFolderPath устарела, и в Microsoft рекомендуют использовать вместо нее SHGetKnownFolderPath . Проблема в том, что поддержка этой функции начинается с Windows Vista, поэтому я применил ее более старый аналог для сохранения обратной совместимости. Вот ее прототип:
HRESULT SHGetFolderPath( HWND hwndOwner, int nFolder, HANDLE hToken, DWORD dwFlags, LPTSTR pszPath );
После этого функция lstrcat совмещает результат работы SHGetFolderPath с идентификатором CHROME_DB_PATH .
База паролей получена, теперь приступаем к работе с ней. Как я уже говорил, это база данных SQLite, работать с ней удобно через SQLite API, которые подключаются с заголовочным файлом sqlite3.h. Давай скопируем файл базы данных, чтобы не занимать его и не мешать работе браузера.
int status = CopyFile(browser_db, TEXT(«.\db_tmp»), FALSE); if (!status) < // return 0; >
Теперь подключаемся к базе командой sqlite3_open_v2 . Ее прототип:
int sqlite3_open_v2( const char *filename, /* Database filename (UTF-8) */ sqlite3 **ppDb, /* OUT: SQLite db handle */ int flags, /* Flags */ const char *zVfs /* Name of VFS module to use */ );
Первый аргумент — наша база данных; информация о подключении возвращается во второй аргумент, дальше идут флаги открытия, а четвертый аргумент определяет интерфейс операционной системы, который должен использовать это подключение к базе данных, в нашем случае он не нужен. Если эта функция отработает корректно, возвращается значение SQLITE_OK , в противном случае возвращается код ошибки.
sqlite3 *sql_browser_db = NULL; status = sqlite3_open_v2(TEMP_DB_PATH, if(status != SQLITE_OK)
INFO
Обрати внимание: при некорректной отработке функции нам все равно необходимо самостоятельно закрыть подключение к базе и удалить ее копию.
Теперь начинаем непосредственно обрабатывать данные в базе. Для этого воспользуемся функцией sqlite3_exec() .
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Источник: xakep.ru
Как сливают из ютуба на адалт смартлинк
Доброго времени суток господа. Как вы уже догадались из названия этого поста, речь пойдет о схеме слива трафика из ютуба на адалт смартлинк.
Я делаю ютуб-доры под крипту, потому когда чекал новые комменты, увидел такую картину. Посмотрел подробнее, понял что это реальная схема слива. Дальше решил это все дело заскринить и написать об этом пост.
Значит смотрел я на комменты на канале, и увидел странный коммент, такого вида:
Обозначения таймкода и сразу в тексте самого коммента стоит название домена. Мне стало интересно, что за ссылка, и я полез смотреть. А там был обычный смартлинк, на котором висели разные офферы, в зависимости от устройства, подгружались разные лендосы. В общем и целом, это и так понятно. Но для наглядности, пруф скрина:
Как видим, самый что есть адалт смартлинк. Странно, я думал ребята будут лить на крипто офферы, все таки видео этой тематики, под которым оставили этот коммент, но нет, все таки выбрали адалт смартлинк.
Если посмотреть на этот аккаунт, который оставил этот комментарий, мы увидим что он по сути пустой. Без аватарки, без описания, обычный чистый аккаунт.
Если смотреть на дату создания этого аккаунта, она стам стоит 29 марта, а коммент был оставлен 10 апреля. Выходит что от момента реги аккаунта до момента запуска написание таких комментов прошло 10-12 дней. Наверное какое-то время аккаунт перебывает на отложке и затем переходит в работу.
На самом канале нет никаких видео. Он пустой, только наверное накрутили несколько подписоты для солидности, что бы не выглядел совсем пустой. Хотя, это все рандомно думаю.
Думаю работал софт, не верю, что этот процесс делали вручную. Если софт, значит там было прокси. В общем и целом, схема необычна и одновременно занимательна. Подход необычный и одновременно загадочный. Ти текста, ни намека, просто адрес домена и все.
Итог
Ребята конечно молодцы, нашли оригинальный метод слива трафика на адалт смартлинк. По логике, сделали минимальный портрет ЦА тех каналов под которые запустили эту софтину. Если тематика: криптовалюты, то значит 95% там будут мужики. Вот и аналитика оказалось профитной, раз они это делают. Не думаю что эта история о том что они решили брать количеством.
Там наверняка все отлично конвертит и приносит хороший профит.
Желаю вам крепкого здоровья, хорошо отдыхать и много зарабатывать! На связи Арбихелпер. Будь здоров и счастлив каждый, кто читает этот пост!
Источник: partnerkin.com