Пройдя по ссылке вы сможете получить бесплатный лицензионный ключ для программы ArtMoney PRO: Бесплатные ключи для ArtMoney PRO. Подробности на форуме в указанной теме.
Доброго времени суток, товарищ! Сегодня у нас на операционном столе интересный пациент: лучшая программа для восстановления утерянных данных - GetDataBack от компании Runtime Software. Взломать ее хотел уже давно, но никак не получалось. А тут БАЦ - и все получилось. Поэтому встречайте статью!=)
Доброго времени... Сегодня мы научимся взламывать программы, написанные в среде программирования Delphi (от Delphi 2, до Delphi 2010) с помощью IDR (Interactive Delphi Reconstructor). Взлом будем делать программы, написанной мной самим.
В моем кракмисе организована защита следующими методами:
*лицензионный файл; *логин-пароль; *наг-скрин; *закрытие программы через рандомное количество минут; *недоступен пункт меню.
Взлом удаленной системы с помощью metasploit+armitage.
Идея написания навеяна статьей, в которой описывается полезная фича метасплоита - autopwn. Это возможность автоматической выдачи эксплоита под уязвимый порт или службу на порте. В новых версиях метасплоита появилась возможность использовать автоматическую эксплуатацию уязвимостей браузеров. А для еще большего упрощения, мы будем использовать графическую оболочку Armitage. Скачать последний Metasploit Framework можно с оф.файта:
Устанавливать следует пакет full, в зависимости от архитектуры и ОСи, он содержит в себе все зависимости и необходимые библиотеки. Так же весь пакет имеется в дистрибьютиве Backtrack Linux.
Механизм, описанный ниже потребует навыков социнженерии.
«Банковский» руткит — теперь и для 64-разрядных систем
Автор: Фабио Ассолини Источник: securelist.com
Несколько дней назад «Лаборатория Касперского» обнаружила первый банковский руткит, предназначенный для 64-разрядных систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками.
Мы обнаружили вредоносный Java-апплет, внедренный в популярный бразильский веб-сайт. В ходе атаки вредоносный апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment), независимо от того, какая версия системы у них установлена — 32- или 64-разрядная.
Апплет содержит несколько интересных файлов:
Схема вредоносной атаки простая, но интересная. Файл add.reg отключает контроль учетных записей пользователя (UAC) и изменяет реестр Windows, добавляя на зараженной машине фальшивые центры сертификации (CA — Certification Authorities):
Эта схема регистрации вредоносных центров сертификации в зараженной системе применяется бразильскими киберпреступниками с прошлого года.
Файл cert_override.txt представляет собой поддельный цифровой сертификат, подписанный одним из таких несуществующих центров сертификации, зарегистрированных в системе вредоносным Java-апплетом. Основная цель атаки — перенаправить пользователя на домен, используемый для фишинговых атак. Поддельный сайт выдает страницу, которая выдается за реальную страницу банка и на которой присутствует пиктограмма https-соединения.
Файл aaa.bat выполняется и запускает на исполнение файл bcdedit.exe — легитимную утилиту, созданную компанией Microsoft для редактирования загрузочной конфигурации Windows Vista и более поздних версий Windows. Использование этой утилиты с соответствующими параметрами, такими как “DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” и “type= kernel start= boot error= normal” позволяет скопировать файлы plusdriver.sys и plusdriver64.sys в папку драйверов и зарегистрировать их в качестве активных драйверов при следующей перезагрузке. Данная схема дает возможность запустить вредоносный драйвер без легитимной цифровой подписи – об этом недавно написал мой коллега Вячеслав.
После регистрации в системе вредоносные драйверы выполняют несколько команд: изменяют файл hosts, добавляя переадресацию на фишинговый домен, а также удаляют несколько файлов, необходимых для работы плагина безопасности, используемого бразильскими банками:
Продукты «Лаборатории Касперского» детектируют вредоносные файлы как Rootkit.Win64.Banker.a и Rootkit.Win32.Banker.dy, а вредоносный апплет как Trojan-Dropper.Java.Agent.e.
Привет. Читая твитер, наткнулся на ссылку с форума malwaredomainlist. В топике рассказывалось о спаме с ссылкой на якобы новый virustotal - http://new-virustotal.tk
Стало любопытно, что там. Зайдя на указанный сайт видим визуальную копию оригинала
KrebsOnSecurity.com сообщает о появлении версии троянца SpyEye, способной перехватывать информацию, которую пользователи вводят в веб-формы через Google Chrome или Opera.
Эти дополнительные возможности реализованы в версии 1.3.34 в виде опций. Аналогичные модули для ZeuS и SpyEye уже имеют хождение на подпольном рынке, но все они совместимы или с IE, или с Firefox. Без них троянец лишь тупо регистрирует каждое нажатие на клавиатуре и отсылает хозяину большие объемы разнообразной информации, в которых очень трудно отыскать то, что интересует его больше всего, ― персональные идентификаторы и банковские реквизиты. Использование специализированных модулей позволяет значительно урезать этот поток, ограничив активность кейлоггера веб-формами.
Случается, что по соображениям безопасности пользователи переходят с IE или Firefox на альтернативные браузеры, доля рынка которых не столь велика. Все давно уразумели: чем популярней продукт, тем большим вниманием он пользуется у злоумышленников. Появление новых зловредных плагинов для SpyEye наглядно демонстрирует, что в условиях непрерывной эволюции киберугроз простая смена ПО не может служить панацеей от злоумышлений. Гораздо важнее держать в тонусе рабочий софт, и во всех действиях, связанных с усовершенствованием системы, руководствоваться здравым смыслом.
Давненько мне не приходил никакой спам с вирусными рассылками от френдлиста социальных сетей, да и ничего уникального давно не встречалось из подобного рода рассылок. Но сегодня мне попал довольно любопытный сэмпл. Сперва пришло письмо от человека, который состоит у меня в списке друзей:
Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.
Американские власти конфисковали 5 серверов и 29 доменов, задействованных в управлении масштабной зомби-сетью Coreflood, которая использовалась злоумышленниками для хищения пользовательских данных в целях личной наживы.
Одновременно в окружной суд Коннектикута был подан гражданский иск о мошенничестве с использованием средств проводной связи, финансовых махинациях и незаконном перехвате сеансов электронной связи. Ответчиками по делу являются 13 анонимных ботоводов иностранного происхождения. Министерство юстиции получило от федерального судьи временное разрешение на захват управления ботнетом. Подмена управляющих серверов уже произведена, резидентным ботам отсылаются команды на приостановление деятельности. Тайм-аут позволит предотвратить их обновление и провести очистку зараженных ресурсов. Похожая тактика была применена в Нидерландах при попытке нейтрализовать Bredolab.
По некоторым оценкам, ботнет Coreflood был создан около 10 лет назад и насчитывает свыше 2 млн. боевых единиц. Подавляющее большинство зараженных ПК, входящих в его состав, размещены на территории США. Зловред, на основе которого был сформирован ботнет, (ЛК детектирует его как Backdoor.Win32.Afcore) ориентирован на платформы Windows, наделен функционалом бэкдора и специализируется на краже персональной и финансовой информации.
Сотрудники министерства юстиции и агенты ФБР совместно с интернет-провайдерами начали кампанию по выявлению инфицированных машин, оповещению их владельцев и оказанию помощи по очистке зараженных ресурсов.
