XNTeam - защита от: взлом паролей, взлом вконтакте, взлом icq, взлом почты. Что такое вирус, как не скачать вирус, защита информации.

XNTeam - защита от: взлом паролей, взлом вконтакте, взлом icq, взлом почты. Что такое вирус, как не скачать вирус, защита информации. http://xaker.name/ ru XNTeam - защита от: взлом паролей, взлом вконтакте, взлом icq, взлом почты. Что такое вирус, как не скачать вирус, защита информации. DataLife Engine Раздача ключей для ArtMoney PRO Бесплатно! http://xaker.name/152-razdacha-klyuchej-dlya-artmoney-pro-besplatno.html http://xaker.name/152-razdacha-klyuchej-dlya-artmoney-pro-besplatno.html Пройдя по ссылке вы сможете получить бесплатный лицензионный ключ для программы ArtMoney PRO:
Бесплатные ключи для ArtMoney PRO.
Подробности на форуме в указанной теме.]]> onthar Mon, 09 Jan 2012 03:12:02 +0400 Исследование защиты GetDataBack http://xaker.name/stati/150-issledovanie-zashhity-getdataback.html http://xaker.name/stati/150-issledovanie-zashhity-getdataback.html

Исследование защиты GetDataBack

Доброго времени суток, товарищ!
Сегодня у нас на операционном столе интересный пациент: лучшая программа для восстановления утерянных данных - GetDataBack от компании Runtime Software. Взломать ее хотел уже давно, но никак не получалось. А тут БАЦ - и все получилось. Поэтому встречайте статью!=)

Для взлома нам понадобится:

*GetDataBack - стоимость его 70$. Отдавать столько денежек не хочется;
*Olly Debugger + плагин ODBGScript + скрипт распаковки ASProtect;
*IDR (Interactive Delphi Reconstructor);
*PETools;
*IMPort REConstructor;
*Restorator;
*PEiD;
*Руки + Голова - обязательно!;
*Также рекомендую прочитать мою предыдущую статью по взлому крякмиса с помощью IDR.

ПЕРВАЯ ЧАСТЬ: Распаковка

Для начала определим, чем упакована наша программа:]]> onthar Wed, 15 Jun 2011 13:52:15 +0400 Взлом Delphi-программ с помощью IDR http://xaker.name/stati/149-vzlom-delphi-programm-s-pomoshhyu-idr.html http://xaker.name/stati/149-vzlom-delphi-programm-s-pomoshhyu-idr.html

Взлом Delphi-программ с помощью IDR

Доброго времени...
Сегодня мы научимся взламывать программы, написанные в среде программирования Delphi (от Delphi 2, до Delphi 2010) с помощью IDR (Interactive Delphi Reconstructor). Взлом будем делать программы, написанной мной самим.

В моем кракмисе организована защита следующими методами:

*лицензионный файл;
*логин-пароль;
*наг-скрин;
*закрытие программы через рандомное количество минут;
*недоступен пункт меню.

Для работы нам понадобятся:

*Собственно сама программа, которую мы будем ломать;
*Olly Debugger - для модификации кода;
*IDR (Interactive Delphi Reconstructor) - для анализа кода;
*Restorator - для изменения вшитых свойств объектов;
*PEiD - для анализа упаковщика/среды разработки;
*UPX - для распаковки исполняемого файла;
*стандартный калькулятор Windows - для подсчета HEX-значений.

Итак, первым делом запустим PEiD, и узнаем, на чем же написана наша программа?]]> onthar Mon, 06 Jun 2011 05:33:00 +0400 Взлом удаленной системы с помощью metasploit+armitage. http://xaker.name/stati/148-vzlom-udalennoj-sistemy-s-pomoshhyu-metasploitarmitage.html http://xaker.name/stati/148-vzlom-udalennoj-sistemy-s-pomoshhyu-metasploitarmitage.html Взлом удаленной системы с помощью metasploit+armitage.

Идея написания навеяна статьей, в которой описывается полезная фича метасплоита - autopwn. Это возможность автоматической выдачи эксплоита под уязвимый порт или службу на порте.
В новых версиях метасплоита появилась возможность использовать автоматическую эксплуатацию уязвимостей браузеров. А для еще большего упрощения, мы будем использовать графическую оболочку Armitage.
Скачать последний Metasploit Framework можно с оф.файта:

http://www.metasploit.com/download/

Устанавливать следует пакет full, в зависимости от архитектуры и ОСи, он содержит в себе все зависимости и необходимые библиотеки.
Так же весь пакет имеется в дистрибьютиве Backtrack Linux.

Механизм, описанный ниже потребует навыков социнженерии.

Видео: http://www.youtube.com/watch?v=lnOZYd1cH1k
Обсуждение на форуме: http://www.xaker.name/forvb/showthread.php...9550#post149550

Прочитать полностью:

]]> onthar Mon, 30 May 2011 00:02:33 +0400 «Банковский» руткит — теперь и для 64-разрядных систем http://xaker.name/news/147-bankovskij-rutkit-teper-i-dlya-64-razryadnyx-sistem.html http://xaker.name/news/147-bankovskij-rutkit-teper-i-dlya-64-razryadnyx-sistem.html «Банковский» руткит — теперь и для 64-разрядных систем

Автор: Фабио Ассолини
Источник: securelist.com

Несколько дней назад «Лаборатория Касперского» обнаружила первый банковский руткит, предназначенный для 64-разрядных систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками.

Мы обнаружили вредоносный Java-апплет, внедренный в популярный бразильский веб-сайт. В ходе атаки вредоносный апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment), независимо от того, какая версия системы у них установлена — 32- или 64-разрядная.

Апплет содержит несколько интересных файлов:

Схема вредоносной атаки простая, но интересная. Файл add.reg отключает контроль учетных записей пользователя (UAC) и изменяет реестр Windows, добавляя на зараженной машине фальшивые центры сертификации (CA — Certification Authorities):

Эта схема регистрации вредоносных центров сертификации в зараженной системе применяется бразильскими киберпреступниками с прошлого года.

Файл cert_override.txt представляет собой поддельный цифровой сертификат, подписанный одним из таких несуществующих центров сертификации, зарегистрированных в системе вредоносным Java-апплетом. Основная цель атаки — перенаправить пользователя на домен, используемый для фишинговых атак. Поддельный сайт выдает страницу, которая выдается за реальную страницу банка и на которой присутствует пиктограмма https-соединения.

Файл aaa.bat выполняется и запускает на исполнение файл bcdedit.exe — легитимную утилиту, созданную компанией Microsoft для редактирования загрузочной конфигурации Windows Vista и более поздних версий Windows. Использование этой утилиты с соответствующими параметрами, такими как “DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” и “type= kernel start= boot error= normal” позволяет скопировать файлы plusdriver.sys и plusdriver64.sys в папку драйверов и зарегистрировать их в качестве активных драйверов при следующей перезагрузке. Данная схема дает возможность запустить вредоносный драйвер без легитимной цифровой подписи – об этом недавно написал мой коллега Вячеслав.

После регистрации в системе вредоносные драйверы выполняют несколько команд: изменяют файл hosts, добавляя переадресацию на фишинговый домен, а также удаляют несколько файлов, необходимых для работы плагина безопасности, используемого бразильскими банками:

Продукты «Лаборатории Касперского» детектируют вредоносные файлы как Rootkit.Win64.Banker.a и Rootkit.Win32.Banker.dy, а вредоносный апплет как Trojan-Dropper.Java.Agent.e.]]> onthar Thu, 26 May 2011 20:36:39 +0400 Malware pwning - от анализа сэмпла до фтп-доступа. http://xaker.name/stati/146-malware-pwning-ot-analiza-syempla-do-ftp-dostupa.html http://xaker.name/stati/146-malware-pwning-ot-analiza-syempla-do-ftp-dostupa.html http://www.virustotal.com/file-scan/report...6fda-1306224967

Malware pwning - от анализа сэмпла до фтп-доступа.

Админку выловил сниффером, адрес уже выдавал "404".
Но нам же интересно все, не заглянуть ли в корень сайта?)

Видео демонстрацию процесса исследования можно посмотреть на ютубе]]> onthar Tue, 24 May 2011 14:04:54 +0400 new-virustotal.tk - ковыряем фальшивый вирустотал + лодыря + мальварь. http://xaker.name/stati/145-new-virustotaltk-kovyryaem-falshivyj-virustotal-lodyrya-malvar.html http://xaker.name/stati/145-new-virustotaltk-kovyryaem-falshivyj-virustotal-lodyrya-malvar.html ссылку с форума malwaredomainlist. В топике рассказывалось о спаме с ссылкой на якобы новый virustotal - http://new-virustotal.tk

Стало любопытно, что там. Зайдя на указанный сайт видим визуальную копию оригинала

new-virustotal.tk - ковыряем фальшивый вирустотал + лодыря + мальварь.

]]> onthar Mon, 23 May 2011 01:46:51 +0400 Никто не застрахован http://xaker.name/news/144-nikto-ne-zastraxovan.html http://xaker.name/news/144-nikto-ne-zastraxovan.html Никто не застрахован

Автор: Татьяна Никитина
источник: securelist.com

KrebsOnSecurity.com сообщает о появлении версии троянца SpyEye, способной перехватывать информацию, которую пользователи вводят в веб-формы через Google Chrome или Opera.

Эти дополнительные возможности реализованы в версии 1.3.34 в виде опций. Аналогичные модули для ZeuS и SpyEye уже имеют хождение на подпольном рынке, но все они совместимы или с IE, или с Firefox. Без них троянец лишь тупо регистрирует каждое нажатие на клавиатуре и отсылает хозяину большие объемы разнообразной информации, в которых очень трудно отыскать то, что интересует его больше всего, ― персональные идентификаторы и банковские реквизиты. Использование специализированных модулей позволяет значительно урезать этот поток, ограничив активность кейлоггера веб-формами.

Случается, что по соображениям безопасности пользователи переходят с IE или Firefox на альтернативные браузеры, доля рынка которых не столь велика. Все давно уразумели: чем популярней продукт, тем большим вниманием он пользуется у злоумышленников. Появление новых зловредных плагинов для SpyEye наглядно демонстрирует, что в условиях непрерывной эволюции киберугроз простая смена ПО не может служить панацеей от злоумышлений. Гораздо важнее держать в тонусе рабочий софт, и во всех действиях, связанных с усовершенствованием системы, руководствоваться здравым смыслом.]]> onthar Thu, 28 Apr 2011 04:29:59 +0400 Как распространяют троянов через спам вконтакте. http://xaker.name/stati/socinjeneriya/143-kak-rasprostranyayut-troyanov-cherez-spam-vkontakte.html http://xaker.name/stati/socinjeneriya/143-kak-rasprostranyayut-troyanov-cherez-spam-vkontakte.html Сперва пришло письмо от человека, который состоит у меня в списке друзей:

Как распространяют троянов через спам вконтакте.

Довольно несвойственная манера для человека, но я прошел по ссылке, т.к. она не вела на внешние ресурсы. При переходе видим профиль некоего Энди Смоука, обещающего завтра всем дать голоса на халяву, если перейти по ссылке. Что настораживает сразу? Правильно, сокращалка ссылок, которую так долго использовали за бугром для фишинга. Теперь и до нас докатились) Но это лично для меня, вообще настораживает халява сама по себе.]]> onthar Wed, 20 Apr 2011 05:47:00 +0400 Захват по-голландски http://xaker.name/142-zaxvat-po-gollandski.html http://xaker.name/142-zaxvat-po-gollandski.html
Одновременно в окружной суд Коннектикута был подан гражданский иск о мошенничестве с использованием средств проводной связи, финансовых махинациях и незаконном перехвате сеансов электронной связи. Ответчиками по делу являются 13 анонимных ботоводов иностранного происхождения. Министерство юстиции получило от федерального судьи временное разрешение на захват управления ботнетом. Подмена управляющих серверов уже произведена, резидентным ботам отсылаются команды на приостановление деятельности. Тайм-аут позволит предотвратить их обновление и провести очистку зараженных ресурсов. Похожая тактика была применена в Нидерландах при попытке нейтрализовать Bredolab.

По некоторым оценкам, ботнет Coreflood был создан около 10 лет назад и насчитывает свыше 2 млн. боевых единиц. Подавляющее большинство зараженных ПК, входящих в его состав, размещены на территории США. Зловред, на основе которого был сформирован ботнет, (ЛК детектирует его как Backdoor.Win32.Afcore) ориентирован на платформы Windows, наделен функционалом бэкдора и специализируется на краже персональной и финансовой информации.

Сотрудники министерства юстиции и агенты ФБР совместно с интернет-провайдерами начали кампанию по выявлению инфицированных машин, оповещению их владельцев и оказанию помощи по очистке зараженных ресурсов.

(c)Татьяна Никитина

]]> onthar Mon, 18 Apr 2011 14:57:22 +0400