Встреч не запланировано

Трояны на вооружении спецслужб.

СМИ

0
+
Ответить Сохранить
Добавлено: Вторник Января 17, 2012 20:49 pm



Репутация: 0    
AntonXxX
Руб.
0
Незадолго до нового года были взломаны два известных сайта рунета: elevtroname.com и charter97.org. На первый взгляд взлом походил больше на работу энтузиастов, т.к. сайты продолжали работать и не выдвигались ни какие требования администрации ресурсов. Злоумышленники просто удалили некоторые статьи, и поместили на главную страницу чартера липовую статью.

Расследование кибер преступлений привело к неожиданным результатам. Оказывается, что компьютеры, и даже личная переписка (skype, социальные сети, электронная почта) редакции Хартии находились под скрытым наблюдением белорусских спецслужб. КГБ следило не только за деятельностью сайтов, но и за переписками различных блогеров, политиков, журналистов и прочих активных деятелей.

Получилось установить, что трояны, которые были установлены на компьютерах жертв, слали свои отчёты на различные почтовые адреса. Важно то, что к 2-м ящикам ([email protected] и  Скрытый текст ) удалось получить доступ.

Проанализировав содержимое электронных писем, стало ясно, что КГБ Белоруссии незаконно следили за редакцией Хартии, а также Мартином Коктышем, Ириной Халил, Сергеем Возняком, Еленой Новиковой, Павлом Мариничевым, Виктором Радьковым и за многими другими. Даже проводились попытки изыскания компьютеров у Белорусской ассоциации журналистов, Вячеслава Дианова, адвоката Алеся Беляцкого, Дмитрия Лоевского и координатора, так называемых «молчаливых» акций протеста. На сегодняшний день точно не ясно — были ли эти попытки успешными.

Впервые смогли задокументировать первое заражение ещё в июле 2011 года. Тогда хакеры получили пароли от Skype (кто знаком с системой сохранения логов скайпа, тот знает, что достаточно зайти с другого компьютера под чужим логином, что бы получить всю его переписку за последних несколько дней), а также получили доступ к социальным сетям, электронной почте, и прочие важные пароли. Дело в том, что злоумышленники получали картинку с рабочего стола пользователя и могли знать: что он печатает в текстовых процессорах, копировал в буфер обмен, или о чём общался в чатах и на форумах.

КГБшные хакеры использовали три вируса: RMS (Remote Manipulator System ),
 Скрытый текст  (этот вирус распространяется через флешку) и  Скрытый текст  Самое интересное, что это не какие-то сверх засекреченные вирусы, а вполне обычные и их может приобрести любой желающий всего за 20-30 долларов.

Во время расследования проведенного специалистами по безопасности, получилось установить, что на оба почтовых ящика хакеров заходили с одного ip адреса — 178.124.157.86. Это был не единичный случайный заход а вполне закономерный и регулярный. Следовательно, адрес статичный, и это очень помогло расследованию. Кроме того, раз адрес постоянный, то можно сделать вывод, что всеми этапами хакерской атаки занималась одна группа.

Удалось выяснить, что Максим Чернявский (известен тем, что его завербовал «Дима из КГБ») получил задание по установке вируса RSM на компьютер Вячеслава Дианова. Именно так расследование и вышло на след КГБ.

Если вы хотите убедиться, что за вами не следят никакие спецслужбы, то вот вам инструктаж, как найти и удалить некоторые вирусы, которые были использованы КГБшниками:


URF Stealer
Это своего рода троян. Чаще всего опознаётся антивирусами под именами: "Trojan:Win32/Anomaly" (Microsoft), "Trojan.Khil.23905" (VBA32), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG).

Размер вируса равен 52,736 байт, а его MD5: 71f950f31c15023c549ef4b33c2bf1e0

Принцип работы слегка отличается от предыдущего трояна. Этот собирает данные о паролях из кеша ваших программ, таких как: Google Talk, Internet Explorer, Opera, Total Commander, Firefox, Chrome, FileZilla, Miranda, Pidgin, The Bat!, Mail.ru Agent, QIP, ICQ, MSN Messenger и д.р. Кроме того Stealer сохраняет основную информацию о вашей системе. Все украденные данные помещаются в ufr_files, а эта папка создаётся в той же директории где и был запущен вирус. После чего отправляет данные на почтовый ящик владельца вируса и самоуничтожается. В системе не где не оставляет вредных следов, так что и особая чистка не требуется.

Однако определить: был ли не званый гость — можно.
Об этом свидетельствует: папка utr_files в которой лежат *.ds, *.dat, *.bin; а также prefech-файл, который находится в :\Windows\Prefetch\ABGREYD.EXE-*.pf.

Если этот вирус был у вас, то не забудьте сменить все пароли, которые у вас были сохранены в кэше.

RMS Trojan
Как не сложно догадаться по названию — это опять троян. Как и выше названные вирусы, этот тоже плохо определяется антивирусом. Дело в том, что RMS использует в своём коде компоненты, программ, которые являются вполне легальными. Однако, иногда антивирусы могут определить инсталлятор, как: "Worm.Autorun-8201" (ClamAV), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32), "Trojan.Generic.6178206" (Gdata).

Размер троянца 2,782,938 байт, а MD5: 3299b4e65c7c1152140be319827d6e04.

При активации вирус создаёт скрытую папку :\Windows\system32\catroot3 и копирует туда различные компоненты для удалённого управления компьютером. После чего правит системный файрвол. Затем создаёт файл :\Windows\system32\de.exe, который тоже скрытый. В конце запускает свою программу по удалённому управлению и, довольный свой работой, умирает (удаляется).

Наличие вируса легко определить по двум новым процессам: rfusclient.exe или rutserv.exe. Так же если вы найдёте скрытую папку :\Windows\system32\catroot3 или файл :\Windows\system32\de.exe, то значит за вами следят. А ещё вирус создаёт новый сервис с названием TektonIT — R-Server.

Управление заражённым компьютером происходит по особому протоколу (в основе лежит стандартный TCP), используя сервера от компании Teton-IT, которые предоставляются бесплатно.

Вирус отличается тем, что сам создаёт файл, через который его можно полностью удалить — ndows\system32\de.exe. Запуск этого файла полностью очистит вашу систему, включая записи реестра, от вредоносной программы.

После удаления вируса, как обычно, необходимо сменить все свои пароли. Однако этого мало. Так как компьютер находился полностью под контролем хакера, то, скорее всего, он заразил вас ещё 10-ком вирусов. Поэтому постарайтесь, как можно быстрее переустановить систему... лучше всего с форматированием.
Добавлено: Вторник Января 17, 2012 21:46 pm



Репутация: 0    
I.V.Stalin
AntonXxX
Так это в Белоруссии.
Пусть Батька давит гадину,правильно все делают.
Это он еще с ними по мягкому...
Добавлено: Вторник Января 17, 2012 22:21 pm

Выдается за активное участие в жизни форума не менее 3 лет 



Репутация: 2    
Damask
I.V.Stalin
Иосиф Виссарионович, выпей ещё йаду, в 53-м, видимо, мало было.
Добавлено: Вторник Января 17, 2012 22:24 pm



Репутация: 0    
I.V.Stalin
Damask
Не дождешься.
Батька страну держит,последний оплот на просторах бывшего СССР.
Какие то у вас двойные стандарты.
Добавлено: Понедельник Января 30, 2012 16:04 pm



Репутация: 0    
ponetre
Руб.
0
Код:
КГБшные хакеры использовали три вируса: RMS (Remote Manipulator System ), UFR Stealer (этот вирус распространяется через флешку) и Keylogger Detective. Самое интересное, что это не какие-то сверх засекреченные вирусы, а вполне обычные и их может приобрести любой желающий всего за 20-30 долларов.

Вот это вот ну просто лол! Скоро даже мартышки будут юзать собственные руткиты, а тут кгб))
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы можете вкладывать файлы
Вы можете скачивать файлы