Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion

Показано с 1 по 2 из 2
  1. #1
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,441
    Репутация
    159 + / -
    Безопасность

    ZeusVM прячет информацию в JPG-файлах

    Новый вариант известного банковского трояна Zeus/Zbot под названием[Только зарегистрированные могут видеть это. ] использует технику стеганографии, чтобы скрыть свои рабочие файлы и избежать автоматического обнаружения. В качестве контейнера для сокрытия выбран формат JPEG.

    Если загрузить «зараженную» картинку в поиск картинок Google, то можно найти в интернете оригинал с такими же длиной и шириной, но меньшего размера. Остается [Только зарегистрированные могут видеть это. ] оригинальное и модифицированное изображение, чтобы заметить разницу.



    Затем в hex-редакторе выделяем «лишние» байты.



    Для расшифровки данных придется воспользоваться дебаггером вроде OllyDbg. Как выясняется, код зашифрован в Base64, после чего по нему прошлись с помощью RC4 и XOR. Дебаггер позволяет вернуть код к исходному виду и увидеть список банков и финансовых организаций, против клиентов которых ZeusVM осуществляет атаку типа MiTM. Скажем, троян подменяет определенные веб-элементы при осуществлении платежей через интернет-банк после того, как пользователь осуществит авторизацию со своего компьютера.



    Это уже не первый раз, когда злоумышленники используют стеганографию и прячут информацию в графических изображениях. Так, недавно антивирусная компания Sucuri приводила пример, как зловред хранит вредоносную нагрузку в[Только зарегистрированные могут видеть это. ].


    xakep.ru
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  2. #2
    Trust
    Аватар для ul1k317

    Статус
    Offline
    Регистрация
    26.08.2013
    Сообщений
    823
    Репутация
    395 + / -
    Web-программист
    Ну вот я же говорил, что и в jpeg можно прятать тело, когда обсуждали то, что кто-то прячет загрузчик в png.
    php, mysql, mssql, js, html, css, ajax, administrating, it consulting, etc.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.