Пользователь
0,0
рейтинг
21 марта 2010 в 12:39

Разработка → Для преступников ботнет Зевс (ZeuS) становится все удобнее и удобнее перевод

Да, я знаю что недавно про него было, и скоро будет еще. Но вот что думают буржуины.

image
Какой-то ботнет

Краткая справка
  • № 1 в списке самых разыскиваемых ботнетов Америки
  • Зараженные компьютеры: 3.6 миллиона
  • Использование преступниками: воровство вводимой пользователем информации (кейлоггер), вставка поддельных HTML форм в системы онлайн-банкинга
За 10 000 $ можно приобрести модуль Зевса, дающий полный контроль над зараженными компьютерами

Новые возможности усиливают ботнет ЗевС, используемый преступниками для воровства финансовой информации и переводов денег в онлайн-банкинге, расчетных палатах и системах начисления заработной платы. Стоимость его последней версии начинается с 3000 $, также можно купить позволяющую полностью контролировать зараженные компьютеры версию за 10 000 $.

Список 10 самых разыскиваемых ботнетов Америки.

Автор и владелец предположительно один человек и (также предположительно) находящийся сейчас в восточной Европе, продолжает постоянную работу над ботнетом. Так, Зевс версии 1.3.4.х получил встроенную функцию удаленного контроля над ботнетом. Причем взломщик может «получить полный контроль над зараженным компьютером», говорит Дон Джексон, начальник отдела обнаружения угроз копании SecureWorks, выпустивший подробный отчет о Зевсе на этой неделе.

Новая опция Зевса (взятая из старого свободного проекта AT&T Bell Labs «Virtual Network Computing») и позволяющая удаленно контролировать компьютеры работает аналогично программам наподобие GoToMyPC, говорит Джексон. Secure Works называют опцию «полным присутствием». Она настолько полезна преступникам, что стоит 10 000 $.

Троян Зевс поражает компьютеры с установленной ОС Windows и имеет размер около 50 000 байт. Он ворует с компьютера пользователя учетные записи банковских систем северной Америки и Великобритании. Преступление можно совершить с другого континента, переводя средства на другие счета с помощью искусно сделанной системы управления.

Появившийся в 2007 (а возможно и ранее) Зевс «удачно продвигаемая шпионская программа-троян» увеличил свою популярность с распространением ботнетов.

Изначально над написанием Зевса работала группа UpLevel. Однако сегодняшние исследователи считают, что у Зевса всего один автор, который в настоящее время прилагает усилия по полному контролю над Зевсом (версий 1.3 и более поздних). Так, он внедрил механизм защиты от копирования, привязывающий каждую копию клиента ботнета к соответствующему компьютеру.

Исследователь Кевин Стевенс из SecureWorks указывает на схожесть механизма защиты от копирования Зевса с WinLicense (оба используют метод аппаратных маркеров). Механизм учитывает информацию об аппаратном обеспечении компьютера перед открытием доступа к коду инструментария ZeuS Builder.

Предыдущие версии Зевса доступны бесплатно, но новые (с начала года) стоят совсем немало. По информации SecureWorks в сетевом преступном сообществе мошенники зачастую платят за используемые в совершении преступлений программы через Western Union или Web Money.

В опубликованном на прошлой неделе отчете SecureWorks базовый инструментарий ZeuS Builder стоит от 3 до 4 тысяч долларов, а за модуль «Banckconnect» придется выложить еще полторы тысячи. Модуль позволяет совершать переводы с зараженной машины, т.е. если банки попробует отследить откуда преступником был совершен перевод, то увидят компьютер владельца счета. Есть разграничение и по взламываемым ОС — за возможность взламывать компьютеры с Windows 7 или Vista преступникам нужно заплатить еще 2 тысячи долларов, в противном случае они смогут взламывать только компьютеры с Windows XP.

Перечислим еще несколько доступных опций. «Firefox form grabber» (2000 $) посылает преступнику информацию из форм ввода, которые пользователь заполняет в Файерфоксе. «Jabber (IM) chat notifier» (500 $) оповещает взломщика о получении украденных данных, теперь если успеть, то можно получить доступ к счету жертвы, используя банковский токен для случайной генерации чисел. VNC модуль, позволяющий обойти смарт-карты, необходимые для крупных переводов (10 000 $).

Последняя версия Зевса умеет обходить большинство двухфакторных и других защит банковских систем и ориентирована на проведение крупных переводов, от 100 000 $, отмечает Джексон.

Появляется множество историй о жалобах компаний на неавторизованные переводы или мошеннически внесенных несуществующих работников в систему заработной платы. В таких случаях банки не могут откатить достаточно крупные переводы.

Итак, последняя версия Зевса обходит большинство продвинутых механизмов защиты онлайн-аутентификации используемых банками, возможно за исключением ручной системы одобрения транзакций, в которой одобрить перевод должны по крайней мере двое случайно выбранных из списка специально обученных людей. «Это гонка вооружений», — Джексон.

В выходящей вскоре версии Зевса 1.4 (которая пока в бета-тесте) количество опций увеличиться. Например, опция «Web Injects for Firefox» позволит взломщику в любое время показать в Firefox поддельную страницу с банковской формой. Поводом может служить запрос дополнительной информации банком (во время перевода).

Для предотвращения своего обнаружения и затруднения идентификации антивирусами Зевс использует полиморфное шифрование.

UPD:
image
Можете оценить, насколько эффективно это самое полиморфное шифрование

И статья про удаление.
Перевод: Ellen Messmer
ayambit @ayambit
карма
107,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (210)

  • +19
    интересно, как автор умудряется получать деньги. Неужели невозможно отследить банковские транзакции?
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        а если (хитрый план!) программу попробует купить агент ФБР?
        • 0
          Ну если это «только хорошо знакомый» агент ФБР :)
          • +8
            продавать ботнет только «хорошо знакомым» — плохая бизнес-модель :)
            • НЛО прилетело и опубликовало эту надпись здесь
              • +8
                Напротив. Хорошо знакомый может выдать о тебе гораздо больше информации, чем случайный попутчик.
                • +1
                  тут наверное имеется ввиду такой знакомы, за которого могут поручится минимум 3 человека, которых ты знаешь, причем необязательно, что они тебя знают столько или также.
                  • 0
                    может, при продаже бота используется «двухфакторная аутентификация»?
              • 0
                >гарант сервисы
                >Владелец ZeuS
                буагага. Конечно этот типо тусуется на DL и античате и платит 20 баксов за рекламу в шапке.

                Продажа думаю только по рекомендации, все такие западная «сцена» развита лучше чем наша — там такие вещи можно прокручивать.
            • +4
              А они потом инвайты на Зевс раздают.
        • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      При таких ценах на бот, купить у кардеров картона и обналичивать через дропов и проблем нет.
      • +1
        что такое «дропы»?
        • +3
          Это такие люди с черными головами которые подходят снимают денюшки :)
        • 0
          Чувак-подельник, который готов принять на свой адрес товар и послать куда надо.
          • 0
            а если дропа взять за попу?
            • +16
              А если ему это понравится?
            • +4
              То даже с паяльником в жопе он не сможет рассказать кто же его нанял. Максимум мыло и асечка. Ну и разумеется схема передачи денющек заказчику, вот только заказчик будет уже в курсе «пропажи» и заляжет на дно.
              • +1
                Не факт. В какой-то момент криминальные структуры всерьез поняли, что кардинг это реальная прибыль. Появились дроповоды, которые про интернет только слышали, люди из оффлайн криминала. Например в Великобритании была огромная команда дропов (преимущественно эмигранты из восточной Европы), руководил которой какой-то криминальный деятель высокого полета.
                И дропы там были такие, которые ничего не расскажут не по той причине, что не знают, а по той, что бояться рассказать. К тому же не думаю, что Скотленд Ярд применяет такие методы, как «паяльник в жопе». А людям этим терять особо нечего, не от хорошей жизни они идут на такое преступление, как обналичка краденных денег.
                Посредники этого деятеля гарантировали выплату процентов тому, кто переводил грязные деньги на счет дропа, в том случае, если деньги поступали на счет. И обязательства эти выполнялись.

                Так что дроп дропу рознь =) Как и дроповод дроповоду.
            • +1
              так и делают, проблем нет только на словах
        • +2
          Подставные лица для обнала грязных денег или для получения товаров из онлайн магазинов, территориально находящиеся в стране целевого банка, желательно со счетом в целевом банке (в таких случаях перевод приходит почти мгновенно в рабочее время и при небольшой сумме).
          Дропы бывают двух типов — разводные (те, которые купились на красивую сказку о легком заработке/помощи беженцам/т.д., и которые не ведают, что творят) и неразводные (те которые заведомо знают, для каких целей используются их счета)
          • 0
            А как второй тип дропов избегает поимки?
            • +1
              Надо полагать усиленным закосом под первый тип. А так я не в курсе. Ни с первыми ни со вторыми не общался =)
      • 0
        Можно поподробней? Что такое дропы и кто такой картон?
        • +1
          пока писал, уже ответили
      • +1
        Нет прямых схем вывода денег с картона, купленного у кардеров.
        Если Вам сказали, что таких схемы есть — Вас нагло и цинично обманули.
    • 0
      помоему все просто, он внимание, использует свой же ботнет, для того чтобы замести следы…
      • 0
        но, тем не менее, неужели невозможно проследить судьбу безналичного бакса?
        • +5
          давайте прикинем… у нас есть 100 баксов и 1000 счетов в разных банках, разных странах…
          большая часть владельцев счетов незнает, что их счетом могут управлять не только они.
          Теперь мы начнем наши 100 баксов гонять по этим счетам, для надежности мы еще время от времени будем делить суммы.
          А теперь прикинем что нужно чтобы отследить, нужно чтобы в разных странах спец службы объединились и начали отслеживать эти 100 баксов, причем не все банки с радостью пойдут на раскрытие банковской тайны.
          • +4
            Схема из кинофильма получилась какая-то. На деле транзит редко когда превышает пять точек.
            Более чем уверен, что на деле деньги переводятся несчастным, которым рассказали красивую сказку о заработке/бедных детях в Нигерии/деньгах депортированных эмигрантов. Потом эти несчастные оставляя себе два-три процента за труды переводят эти деньги ВестернЮнионом на данные бомжа, или знакомому оператору в банке.
            Речь не идет о суммах с четырьмя-пятью нулями. Из-за небольших сумм никто не станет ставить на уши Интерпол и международные связи. А если и поставят — то вряд-ли найдут кого-нибудь.

            Ну а если сумма большая, то есть смысл вкладываться. Открывать счет на подставную фирму, и прикладывать усилия для международного перевода. Поверьте, по первой части можно за определенный процент найти кучу предложений, а вторая часть вполне реальна при определенных знаниях.

            К слову сказать в 2001-2002 году какие-то предприимчивые ребята открыли в Черногории (которая тогда была оффшорной зоной) онлайн-банк с регистрацией через интернет и безличными счетами. С возможностью вывода денег из этого банка как на другие счета так на карту и на вебмани, смысл был таков, что деньги теряли запах и цвет при попадании в этот самый банк, т.е. становились чистыми и след этих денег терялся. Потом контора скрутилась, но я больше чем уверен, что таких контор по миру не одна сотня =)

            З.Ы.: если речь идет о «киношной» сумме в несколько млн долларов, то будьте уверены, никто не даст Вам ее гонять по счетам вот так запросто. Ее быстренько заморозят, для прверки происхождения.
          • 0
            Ага, только вы забыли, что каждого банка есть комиссия =)
            100 раз перевести 1$ и вотвам комиссия на $100 ))))
    • +2
      В цели перевода не обязательно писать «За компьютерный вирус». Какой–нибудь «консалтинг» напишут на несколько тысяч и всё. Нет проблем, всё легально. Прятаться не надо.
      • +6
        Ещё вспомнил: у нас (я в Латвии) недавно была волны предложений: «Вы открываете счёт на своё имя, заказываете карту и отдаёте нам. Мы за это вам платим ХХХ». Были те, кто купился (в основном, бомжи, им терять всё равно нечего). Вот и всё.
        • +1
          250$ =) на рынке за такое люди платят 700$ цены конкретно по вашей Латвии ;)
        • 0
          Хе… у меня знакомые студенты бывало на такое велись
        • 0
          Продать ее, а потом сразу заблокировать, а че.
  • +1
    Шикарно!
    • 0
      сказал nZeus
  • –3
    Жесть
  • +7
    Есть какая нибудь возможность проверить свой компьютер?
    • –3
      Неа. Антивирусы по определению бессмысленны.
    • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
        • +18
          >>антивирус у меня сработал даже на кусок админки бота
          Вы такой наивный. :)
          Извините.
          • 0
            Хабра сила идет в плюс, а карма в минус…
            Что то тут не так :)
      • 0
        Заодно и бот установит. Так вот берёшь и продаёшь людям проги по управлению ботами, а заодно и их ботишь и прочее дурачьё.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    Чем больше читаю про этот вирус, тем больше интересно потрогать самому. :)
    Вообще, конечно, если он на самом деле прроект так силен, то человек очень умен.
    Интересно было бы о нем узнать, как до этого дошел — какие проекты до этого писал.
    • +17
      Нужно ему инвайт на хабр выслать =)
      //Хотя, может он уже тут и смеется над моим постом xD
    • +14
      Интересно было бы о нем узнать, как до этого дошел — какие проекты до этого писал.

      Да истории у таких людей почти одинаковы, когда-то в конце 90-х под впечатлением от BO люди решаются попробовать написать что-то подобное, на а там это дело затягивает и человек начинает просто на этом специализироваться, появляется определенный круг общения, появляются свои заказчики, причем постоянные, ну и в рутине всего этого иногда рождается проект мечта наподобие этого…

      p.s.
      если же говорить про умен/не умен — это просто довольно узкая специализация, на деле там ничего сверх сложного нет, просто в реальной жизни подобным заниматься решают не многие и для остальных поэтому все выглядит как китайская грамота.
  • +3
    это просто суперсофт какойто
  • +5
    Он наверное может и в удалённой кофеварке кофе заварить.
    • +4
      Сможет нанять для этого специального человека.
    • 0
      Не просто в кофеварке. Он варит прекрасный кофе используя компьютер удаленного пользователя!
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Очень интересно!
      • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
      • –6
        У меня убунта, мне пофигу =)
        • +6
          резонней было бы бахвальство — «у меня нет компа» )
        • –2
          Я тут про эту нашу Убунту мысль выскажу, которая давно меня гложет.

          Суть: на Линуксе для формирования ботнета достаточно в популярный пакет трояна положить. В баш, опеноффис или гном. И все пользователи его очень быстро скачают. Потому что обновления.

          Да, хеши, да, профессионалы вроде сидят. Однако маинтейнеров много, а людям свойственно ошибаться. А вот касательно конечных пользователей вообще тишина — апдейты появились, апдейты поставились. Даже если пользователи знают, что такое хеш, проверять не будут.

          А может такое уже было, поделитесь?
          • 0
            Под Мак вот было. Но оно и понятно — у мака рынка больше.
            www.theregister.co.uk/2009/04/16/new_ibotnet_analysis/

            Ничего, скоро дождемся и на Линуксе ^___^
          • 0
            Да, такая возможность есть (и претенденты внедрения в код были, та же история с пачтем openssl), только как показывает практика это достаточно быстро находят или ловится с помощью hids.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Ага, получается в Линуксе такой же беспредел как и в России: пока Президент не вмешается и не намылит шею, бояре будут проказничать :)
              • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                вы меня конечно простите, но большая часть успешных проектов держится на отце-основателе, и только когда рука у отца крепкая проект не превращается в месиво.
                • 0
                  Вы тоже меня простите, но что в этом хорошего?
                  • 0
                    а то что проекты не превращаются в свалку идей!
            • 0
              Вылезти-то он вылез, но кто-то успел слить и поставить себе свежую ванильку. Собсно не только Linux травили, но и FF и многие другие репы. Время реакции мейнтейнеров обычно два часа, а за это время любители свежака уже во всю в рабство отдаются. Так-то.
          • 0
            если этого гения не может поймать ФБР, быть может он станет мэйнтейнером и напишет такую вставку в исходники, которую даже отцы-основатели не заметят (люди же не роботы)… бррр страшно становится…
          • +3
            Никто не пропустит такой пакет в официальные репозитории.
            И да, у меня убунта, мне пофигу. А поуправлял бы с удовольствием.
          • 0
            Внедрить в официальный репозиторий или крупный проект это очень сложно, а если и случится — обязательно обнаружат (разработчики следят, что за апдейты им приходят).

            Намного более реальная схема — использовать PPA. Там ты сам себе хозяин, можно сначала собирать что-то полезное, набрать популярность (например как chromium-daily), а потом уже подложить трояна.
          • 0
            Делалось на неофициальном репозитории. Быстро всплыло.
    • +1
      :) только хотелось бы не в «действии», а с возможностью самому порулить. :)
    • –2
      Мне очень интересно, вышлите пожалуйста ) sunex[dot]development[at]gmail[dot]com
      • +6
        Для любопытных напоминаю что 90% паблик сборок заранее протроянены.

        Дети, пользуйтесь презервативами!
        • +3
          Для этого есть виртуальные машины :)
          • +3
            Не удивлюсь, если трой сможет выйти за ее пределы. Это кстати возможно.
            • +1
              Нормальные троянцы просто не работают на виртуалках. Детектят основные и не работают.
      • НЛО прилетело и опубликовало эту надпись здесь
  • +11
    У автора ботнета либо голова размером с 17 моник, либо их две, либо все же это группа работает. Ибо писать такой софт это одно, а заниматься финансовыми вопросами и вопросами безопасности — другое.
    • +10
      Если он работал программистом в банке то мог знать и то и другое
      • +15
        а незнаете, может он имя ботнету придумал в честь себя?)
      • +34
        Палитесь =)
    • +2
      Просто если работать не одному — вероятно, вопросы безопасности становятся сразу на порядок острее :)
    • +1
      > а заниматься финансовыми вопросами и вопросами безопасности

      Очень большая вероятность, что деятельность данного ботнета и/или его автора курируется серьезным криминалом.
    • +1
      Автор ботнета просто умеет грамотно реализовывать ТЗ.
      К примеру приходит к нему знакомый, и просит для себя билд Зевса, дает ТЗ для этого билда. В ТЗ указано какой функционал должен быть у троянца, т.к. знакомый скорее всего специализируется на паре-тройке банков, в большинстве случаев из одной страны, и системы безопасности у них примерно одинаковые, и лимиты на перевод внутри банка/внутри страны/международные одинаковые, и методы подтверждения тоже одинаковые (будь то токены, или карты одноразовых паролей, или смарт-карты).
      Автор пишет билд, получает денежки. А функционал включает в общий билд троянца.
      А таких знакомых к автору приходит в достаточной мере, скорее всего не один и не два в месяц.
      Я встречал продажи Зевса заточенные под конкретную страну, с фейковыми формами для определенных банков. Причем эта умная штука слизывает на сайте банка урл для подставления фейковой формы, не смотря на то, что банк периодически ее меняет (году в 2005 банки применяли такой метод борьбы с фишингом)
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Fixed.
  • +4
    если автора все таки поймают, то он может вполне легально заработать несколько млн $, издавая книги…
    «ботнет для чайников»
    • –3
      А что автору вменят?
      Он своего бота не использует, создание вредоносного ПО не катит, бот удалять ничего не удаляет.
      • +2
        его программа изначально служит одной цели, кража персональных данных… мне кажется под создание вредоносного по это вполне подходит
        • –3
          давайте посадим всех разработчиков огнестрельного оружия тогда.
          • +5
            ага и конструкторов автомобилей, самолетов… че за бред то?
            Зачем мешать все в одну кучу?
            Попробуйте придумайте хоть одно легальное действие, для чего было бы необходимо писать полиморфный вирус, дающий полный контроль над зараженной машиной…
            • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Не вирус, а троян.

              Удалённое администрирование машин в офисе. На IT happens была история, что администратору пришлось даже вносить похожую программу в список исключений антивируса.
            • –3
              just for lulz.

              создание инструмента совершения преступления не является самим совершением преступления.

              вы бы хоть теорию права по-диагонали хотя бы прочитали.
              • 0
                А кто занимается продажей данного бота? Если докажут материальную выгоду — посадят.
              • +2
                [i]… создание инструмента совершения преступления не является самим совершением преступления ...[/i]

                а УК РФ просто игнорировать?:

                Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

                1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
                2. Те же деяния, повлекшие по неосторожности тяжкие последствия, — наказываются лишением свободы на срок от трех до семи лет.
          • 0
            Давайте. Статья 223 УК РФ «Незаконное изготовление оружия»
            • 0
              а Михаил Калашников, меж тем, Герой России и дважды Герой Соцтруда.
              • +3
                А он его незаконно изготавливал?
                • –3
                  а что, в нашем случае на изготовление трояна требуется лицензия?

                  каким законом запрещено создание трояна?
                  • +3
                    >>каким законом запрещено создание трояна?

                    Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
                    • –6
                      Дак по этому закону можно посадить любому кодеру, или таки найдётся хоть один кодер, который ни разу не писал вирус? Не верю.
                      • –3
                        Первыми посадят программистов windows, самая что ни наесть вредоносная программа :)
                      • +2
                        Что за бредовое предположение. А что, любой архитектор по-вашему обязательно взрывал здания? А любой врач кого-то обязательно зарезал хоть раз? Имхо, писать вирусы кодеру — в некоторой степени противоестественно.
                        • 0
                          практически любой программист проходит через написание вирусов хотя бы ради «смогу ли я».
                          • 0
                            Я задавался другими вопросами, типа смогу ли я сделать свою OS или Office круче чем MS ;) Имхо, эту стадию точно все проходят. Суть моего мнения в том, что проверить свои силы можно по-разному и тот, кто думает что вирусописание это обязательно — судит по себе (и ему эта тема на самом деле близка)
                    • 0
                      по этой статье можно осудить и создателей format.com
                      • +2
                        Это примерно как наркодиллер будет на суде отмазываться, что он ничем не отличается от от торговца салом.
                      • 0
                        тролль средней толщины
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      из уютной камеры…
  • –3
    А где скачать можно? =)
    • НЛО прилетело и опубликовало эту надпись здесь
  • –5
    Рискую быть заминусованным, но все-же:
    А если я на хабре напишу какой классный героин, и как от него плющит, или обнародую набор инструментов, как легко добыть детское порно. Мою статью не удалят, и меня не забанят?
    • +12
      мне кажется вы сравниваете несравнимое…
      в случае с зевсом, речь идет о талантливом программисте (либо группе), и очень хорошей программе (пускай и вредоносной).
      Это примерно как обсуждение автомата Калашникова, я думаю самое смертоносное оружие на земле, врятли из какого либо другого образца убили больше людей. Но при этом сам автомат это отличный продукт, а его конструктор великолепный инженер

      а то о чем говорите вы, там нету ни таланта, ни какого либо достойного продукта.

      • –7
        Ну почему. Можно написать о наборе программ для поиска детского порно. Детально описать все функции. Можно будет даже восхищаться талантом программистов, написавших эти программы.
        • +1
          Если вы напишите, как без скачивания файлов исключить детское порно из результатов поиска по Kad Network, с удовольствием почитаю.

          Да и про сам поиск, думаю, тоже читатели найдутся. В США раньше время отслеживали розовый цвет пересылаемых фотографий в электронной почте.
      • 0
        группе =) около 1 млн. «тестировщиков» только =)
      • 0
        в случае с героином, речь идет о талантливом фармацевте (либо группе), и очень хорошем и числом наркотике (пускай и вредном).
        Это примерно как обсуждение автомата Калашникова, я думаю самое смертоносное оружие на земле, вряд ли из какого-либо другого образца убили больше людей. Но при этом сам автомат это отличный продукт, а его конструктор великолепный инженер.
    • +2
      Если напишешь об особо хитром героине, распространяющемся через водопровод, все тебе спасибо скажут за предупреждение.
    • +1
      Между героином и ботнетом общего примерно как между жопой и пальцем. Не находите?
    • +1
      На форуме правоохранительных органов уместно обсуждение каналов распространения детского порно и т.п. На уроках НВП надо послушать про боевые отравляющие вещества. На форуме программистов вполне можно обсуждать вирусы и трояны. Нам же защищаться от них.
    • 0
      а насчёт героина и опиатов- тоже спорное сравнение. Не забываем о том, что многие опиаты облегчают жизнь раковых больных и не только их.
      • 0
        Не многие, а все. И не только раковых. В этом мире есть два типа качественных болеутоляющих: опиаты и галлюциногены (преимущественно лизергиновые). Во всех нормальных препаратах (включая детские от кашля) есть либо одно, либо другое.

        Да и вообще, в СССР детская доза героина была 125мг. И ничё, наши родители торчками не стали, хотя жрали его все.
  • +9
    Вот смотриш на эти «поделия» от одного человека и думаеш вот у них уже все и так удобно вменямо. А вспомни любой банк-клиент у нас, думаю любой админ помнит что это такой АД, привет из 90тых в плане разработки :)
    • +5
      Банк клиент пишется за деньги, причем часто весьма скромные(экономят :) )
      А тут человек с душой подошел, и доходы нормальные, отчего бы не подумать о удобстве пользователей? :)
      • +5
        Казалось банки, у них то деньги должны быть на то что бы клиенты работали. А в итоге как вы правильно сказали, пишут студенты причем за еду.
        • 0
          Угу, и если этому студенту предложить интересную сумму, то он, с большой вероятностью, расскажет секреты «Банк-клиента» очередному троянописцу. Как раз недавно читал в интернетах, как некторые московские фирмы празил троян, похищающий в автоматическом режиме деньги, и работал этот трой только на компьютерах с определенной версией банк-клиента…

          Мораль, программистам надо платить столько, чтоб они не имели желания смотреть на сторону =)
          • 0
            Все верно говорите, однако там наверху в банках считают что ИТ это обслуживающий персонал, уборщики иначе говоря, зачем им платить много, результат есть вот и здорово. Нету взаимопонимания между верхом и низом так сказать отсюдова и такие плачевные результаты :)
  • +3
    Отличная статья для «Я пиарюсь» )
  • +1
    Чего-то все сразу на измену встали. )) всех затронуло, все задумались о банкинге))
  • НЛО прилетело и опубликовало эту надпись здесь
    • –8
      • НЛО прилетело и опубликовало эту надпись здесь
  • –8
    А смысл это все перетирать на хабре? Ну знаете что такое есть ну на цифры посмотрели сколько там заразилось и что дальше? Это как-то изменит ситуацию? Или автор писать его бросит?
    Поохали, поахали и все дела.
  • +3
    Эти безграмотные писаки… Слово «ботнет» от слова «троян» по-прежнему не отличают!

    № 1 в списке самых разыскиваемых ботнетов Америки
    Автор и владелец предположительно один человек и (также предположительно) находящийся сейчас в восточной Европе, продолжает постоянную работу над ботнетом.
    • 0
      Там по смыслу все-таки про ботнет. Вот оригинал:
      «America's 10 most wanted botnets»

      Имеется ввиду не розыск, а скорее желание прибить нафиг. И посадка собственно автора дела не решит.
      Другое дело что most wanted можно лучше перевести, посоветуйте?
      • 0
        Прибить нафиг сам ботнет.
      • +3
        Нужно просто понимать, что нет единственного ботнета Зевс! Есть троян Зевс и тысячи ботнетов разных объёмов на этом трояне. Не нужно пытаться переводить заведомо глупую фразу. Нельзя их все взять и «прибить нафиг», можно только им жизнь усложнить. Троян постоянно развивается и обновляется, и также обновляют своих ботов владельцы ботнетов. Это просто самый опасный из самых популярных троянов, и всё.
        • 0
          Считайте этот коммент за а несколко плюсов.

          От себя добавлю. Вполне вероятно что разработчиков Зевса несколько. И работают они не собща. Факт, что Зевс не уникален. Подобный софт уже был, писали его в России, и продавали несклько дешевле, чем нынче Зевс. Правда был довольно приватным.
  • 0
    Кто-нибудь может пояснить как это чудо обходит защиту основанную на связке пароль + токен, который генерит каждый раз уникальный ключ?
    • +1
      ворует ваш уникальный ключ
    • 0
      Все зависит от того, с какой периодичностью генерится случайное число на токене.
      Написано же
      > «Jabber (IM) chat notifier» (500 $) оповещает взломщика о получении украденных данных,
      > теперь если успеть, то можно получить доступ к счету жертвы, используя банковский токен
      > для случайной генерации чисел

      Оповестило о заражении, прислало текущий токен, успел залезть — тапки твои.
      • 0
        ключ генериться на специальном брелке, годен только для одной транзакции, вводится в самом конце этой транзакции, как его можно успеть украсть?

        • 0
          Вы знакомы с системой токенов? Насколько мне известно, случайные шести или восьми-значные сочетания цифр там генерятся с разной (от минуты и выше) временной периодичностью. Т.е. текущий ключ остается действительным еще какое-то время после его использования. Во всяком случае именно так все происходит в НЕ usb-токенах. За последние говорить не возьмусь, т.к. не сталкивался.
          • 0
            мой банковский токен генерит ключ, который действителен только один раз, те сгенерил ключ, перевёл деньги или произвёл какую-нибудь операцию и всё он больше недействителен.
            • 0
              У Вас usb-токен? Как он узнает о том, что Вы собираетесь провести транзакцию?
              • 0
                у меня есть небольшая хреновина с кнопками и лсд экранчиком, никак не связанная с пэсэ, я ввожу в неё пароль, она выдаёт мне ключ, который я затем использую.
                • 0
                  я говорил про

                  примерно такое
                  то, что у Вас, уже не очень то токен =) Больше напоминает систему e-num, технология «вопрос-ответ»
                • 0
                  вот картинка, сорри
                  www.ucalgary.ca/it/files/it/rsa-securid-token.jpg

                  многие зарубежные банки используют сейчас подобные токены, т.е. не интерактивные
                • 0
                  Связана она с ПС :) связана.
                  • 0
                    я имел ввиду, что не связана с моим пс.
                    • 0
                      Я тут уже писал про прыгающие коды. Так что физическая связь не нужна :)
              • +7
                Прыгающие коды. Как уже давным давно в любой авто-сигналке.
                Брелок/ключ каждый раз генерирует новый код по только ему известному алгоритму. Банк знает начальный код и алгоритм и после каждого кода увеличивает счётчик кодов. Более того, банк принимает не только текущий, но и несколько последующий кодов (окно синхронизации). Если клиент выходит за окно синхронизации (нагенерировал кодов, но не использовал их), то банк ждёт несколько правильных кодов подряд из гораздо большего окна восстановления синхронизации. Именно подряд. Получив их, банк восстанавливает синхронизацию по кодам с клиентам, увеличивая свой счётчик кодов. Если клиент, таки сумел выйти за пределы окна восстановления синхронизации, то всё — ключ поломан и его нужно менять. Но окно весьма большое (сотни кодов) и нужно сильно постараться. Счётчик кодов в банке никогда не уменьшается — только увеличивается — т.е. возможна только синхронизация вперёд, что гарантирует невозможность повторного использования перехваченного когда. Сами коды генерируются как некая обратимая (не обязательно, но так проще) функция от номера кода, уникального ключа клиента и случайных данных, и с точки зрения постороннего наблюдателя выглядит, как случайная информация не имеющая закономерностей.

                Для машин это выглядит так — если несколько раз попытаться открыть с брелока машину вне радиуса действия, то машина потом откроется, т.к. очередной код попадёт в окно синхронизации. А вот если потыкать пипу вне связи с машиной бОльшее количество раз (десяток-два), то машина потом откроется не с первого раза, т.к. попадётся в окно восстановления синхронизации и нужно будет несколько подряд идущих правильных кодов для авторизации восстановления синхронизации.
                Спасибо за внимание.
            • 0
              троян может заблокировать вам возможность выполнить операцию (после того как вы введете выданный токеном ключ)
              • 0
                я ввожу выданый токеном ключ уже в конце как подтверждение транзакции, если троян это заблокирует, ничего ведь по идеи страшного не произойдёт.
                • 0
                  тогда он может подменить получателя транзакции. или спросить у вас токен в неожиданном месте (например при логине в банкинг) — и с его помощью совершить операцию по переводу денег
                  • 0
                    при логине и так спрашивают ключ, но его нельзя использовать повторно, я писал выше, что ключ действителен только один раз.
                    что касается подмены получателя, это наверное возможно, тут больше скорее тест на внимательность получается.
                    а насчёт запрос на ключ в неожиданном месте, там эта форма для ввода ключа и пароля похоже на яве написана, это что-нибудь меняет?
                    • 0
                      что если вирут просто подменит реквизиты получателя? А на экран выдаст те что вы вводили.
                      • 0
                        а я бы знал возможно сие или нет и насколько это просто\сложно. ведь странички банков, как я понимаю, тоже не пальцем деланы, там шифрованная передача данных, проверка подлинности, сертификаты, все дела. но я мало в этом что понимаю:)
                        • 0
                          в том то и дело что шифрование между вами и банком. А вирус то не между вами, а у вас. Вот и меняет от получателя у вас на компьютере. И зашифрованные данные с нужным получателем идут по зашифрованному каналу на сайт банка.
                          • 0
                            да я больше к тому, может ли этот троян в принципе поменять незаметно получателя, а выдать на экран, что всё ок. с технической стороны.
                            • 0
                              Теоретически да.
                              Практически не знаю.
                              Он же поддерживает написание всевозможных плагинов и контроль жертвы онлайн. Так что нет ни чего сложного в практической реализации.
  • 0
    Вот только в то, что троян позволяет воровать деньги — как то не верится. Многие банки например требуют СМС-пароль для подтверждения транхакции, кроме того переводы можно отследить.

    Вероятно, расчет идет на пользваотелей банков из Южной Америки, там по слухам вообще можно сколько угодно воровать и ничего не будет.
    • +1
      Доброе утро! Как раз для воровства денег со счетов и используются трояны! Защиты по смс и брелкам уже обходятся без проблем! Деньги переводятся на подставные счета, которые потом отслеживать уже поздно, деньги сняли и унесли, а владелец подставного счета оказывается потерпевшим лохом или счет был открыт на поддельные документы.
      • 0
        Хотелось бы подробнее про обход СМС. Я, честно говоря, кроме варианта «дуб с монтировкой» ничего представить не могу, но и данный модуль к данному трояну будет стоить много больше, ввиду дороговизны исполнения и невозможности массового использования, кажется мне.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Ну это не обход защиты СМС, а несколько более позднее вмешательство ;) А потом, на СМС приходит инфа о списании средств и если ты ее не делал, сразу делаешь блокировку средств и отмену последнего перевода, разве не так?
            • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Не всегда так. Иногда приходит по смс пароль для подтверждения транзакции.
              И это обходят =)
  • –5
    и казалось бы причем тут windows
    • 0
      да… что то кажется я не то сказал… :)
  • 0
    скрин с админки elite loader :(
  • –3
    У «Зевса» по описанию столько фитч и возможностей, что с трудом верится, что это творение рук одного человека.
    ИМХО — это по силам только группе профессионалов.

    Но в этой истории больше смущает другое — раз это дело так давно не могут «накрыть», логично предположить, что корни тянутся из недр спецслужб. И я совсем не удивлюсь, если они его и разработали…
  • НЛО прилетело и опубликовало эту надпись здесь
  • +8
    Троян Зевс поражает компьютеры с установленной ОС Windows

    Зараженные компьютеры: 3.6 миллиона

    • 0
      Вы имеете ввиду, что на фото разработчик Зевса?
      • 0
        На фото Линус Торвальдс.
        Ваш К.О.
        • +1
          Выше была шутка юмора.
          Ваш К.О.
          З.Ы. Не поверите, но я знаю кто такой Линус Торвальдс и что значит красная шапочка предыдущего комментатора.
          Просто радость Линуса несколько наиграна.
  • +1
    Я понимаю, что трояны зло, но с технической точки зрения это просто шедевр.
  • +3
    вы только что прочли рекламные материалы ботнета Зевс, приобрести или узнать у кого приобрести можно у автора статьи.
  • –1
    ну, в принципе 3-10 тыс у.е. это вполне недорого за такой функционал…

    но хотелось бы потестировать, конечно, вживую…
  • 0
    Создатель админки ботнета купил лицензию на ExtJS? -)))))
  • 0
    Видел я этот зевс и в версии до 1.x и после. Неплохо конечно, но немного преувеличено.
    Зевс хорош для определенного круга людей, находится достаточно легко и ( во всяком случае раньше ) использует конфиг-файл, скачиваемый по сети. Хороший рутер с фильтацией траффика по контенту решает данные проблемы.
  • 0
    Такие страсти, такие цены, ух. Недавно делал обзор для немецкого радио — билд трояна умеющего воровать 4 крупнейших немецких банка стоит 150-200 баксов. Потратив 2-3 тысячи на допил инжектов умельцы получают 200-300 тысяч оборота, проходит из них 30-40 тысяч до получателя. Система полного управления на любом русском форуме например на базе TeamViewer (только невидимая естесно) будет стоить баксов 200 а не десять тыщ
    • +1
      Offspring rules!
      • 0
        Согласен :)
  • +1
    все это страшно, конечно, но я вот одного не пойму:
    когда у меня что-то просходит со счетом, в т.ч. списываются и переводятся деньги — приходит СМС и электропочта. Любую операцию можно заблокировать после ее совершения, позвонив в банк. Понятно, что не у всех СМС и так далее, на все же я могу быть уверен, что мои деньги на месте, если не приходит СМС? :)С другой стороны, где-то я слышал, что в Европе и штатах не особо распространена эта СМС-нотификация.

    Интересно какая сейчас ситуация для российских банковский клиентов в плане безопасности их действий в Интернете?
    • 0
      >в Европе и штатах не особо распространена эта СМС-нотификация

      именно так и есть.
    • 0
      Как уже писали выше — при совершении любого платежа могут подменяться платежные реквизиты (в невидимом для пользователя режиме). Вряд ли вы и номера счетов каждый раз сверяете.
      Ну и смс нотификация не всегда присутствует, это скорее прерогатива стран СНГ, где без этого с картами вообще мало кто захочет связываться.
  • –2
    Если это все пишет 1 программист то он поистине гений, не такой как Билл Гейтс, Линус Торвальдс, Стив Джобс… а по истине гений.
    • +1
      Ну по крайней мере первый и последний точно гении несколько в другой области. Экономической )
      • 0
        Судя по всему экономические гении это владельцы 1С =)))
  • +1
    Скоро будет и PoseidoN :)
  • 0
    толковый кодер, может кто-то найдет аську этого разработчика и сделает интервью с ним, так сказать из первых уст услышать о судьбе такого детища. Мне было интересно почитать, о том как он шел к этому, как он ведет разработку, пьет ли он пиво :-) ну и т.д. geek ли он :)

  • –1
    Вообще этот топик мне рекламу напоминает :)

    Откуда автору топика известны такие подробности? ;)
    • +1
      Какие «такие подробности»?
    • 0
      эти подробности можно выяснить на сайтах, где распространяется Зевс… И в открытом доступе тоже.
      Об этих подробностях Вам расскажет любой мало-мальски интересующийся темой человек.

      З.Ы.: К тому же автор, как я понял, всего-лишь предоставил перевод статьи ;)
      • 0
        Я не выдвигал обвинений, и задней мысли за моим вопросом нет :) Мне было интересно откуда столько информации. Я сам не слежу за этой темой, а количество деталей показалось очень обширным.
  • 0
    «платят [...] через Western Union или Web Money»

    Хорошая шутка. Платить преступнику живущему где-то в Европе через вебмани — очень <irony>разумно и логично </irony>.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.