Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (56)
  • добавить в избранное
    Добавить в закладки

Идейные воры

Прочитали: 9483 Комментариев: 78 Рейтинг: 108

18 мая 2018

Те, кто интересуется информационной безопасностью, наслышаны о шифровальщиках, банковских троянцах, кейлоггерах – об этих вредоносных программах пишут часто и много. Но арсенал злоумышленников ими не ограничивается. Слышали ли вы, например, о стилерах? Между прочим, этот класс вредоносного ПО – далеко не последний по численности.

Стилер (Stealer - от английского to steal, воровать) – вредоносное ПО, предназначенное для кражи сохраненных в системе паролей.

Вот пример стилера:

Trojan.PWS.Stealer.23012. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты. Ссылки ведут на серверы Яндекс.Диск. Чтобы убедить посетителя сайта нажать на ссылку, на страничках роликов публикуются комментарии, явно написанные из-под поддельных аккаунтов.

Запустившись на инфицированном компьютере, троянец собирает следующую информацию:

  • файлы Cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
  • сохраненные логины/пароли из этих же браузеров;
  • снимок экрана.

https://news.drweb.ru/show?i=11780&lng=ru

В день создается более десятка стилеров

#drweb

Многие вредоносные программы наряду с другими возможностями обладают функционалом кражи паролей. Например, те же банковские троянцы. В отличие от них, стилеры – воры «идейные», они специализируются только на паролях.

Теперь об основных фичах стилеров. Чаще всего эти троянчеги воруют сохраненные пароли из браузеров (акки, банки и т.п.), FTP-клиентов и IM-клиентов (шестизнаки и т.п.).

Интересно, что стилеры весьма часто притворяются нужными программами.

UFR Stealer — программа для граббинга паролей, файлов и прочей информации при помощи флэшки, FTP-сервера или гейта. Основная цель использования — «заимствование» документов, файлов с паролями и прочих важных данных.

Тулза имеет очень гибкую систему настроек граббинга — т.е. можно стянуть только нужные файлы, имеет несколько ступеней фильтрации и т.д. Хорошая альтернатива трояну Pinch 3 (Пинч3).

Мое мнение: очень даже неплохой стилер, можно скачать, сделать через него троян, ходить по друзьям с флешкой и «заимствовать» их пароли. Например, от ВК или одноклассников.

P.S. Данное ПО антивирус может определять как вирус (рекомендуем перед запуском отключать антивирусы на некоторое время), т. к. это хакерская программа, и антивирусы их “не любят”. Удачи!!! Ворует пароли от всех известных браузеров (Опера, Хром, Експлорер), от аськи и даже от Танки Онлайн и т. д. Советую всем, сам пользуюсь=)

Да уж, хороший друг, нечего сказать…

Стилер, пользуясь уязвимостями или паролями, установленными по умолчанию, проникает в хранилища паролей и похищает их содержимое. Как он попадает на компьютер? Вот что пишут сами злоумышленники:

  1. Протроянь игрока: Идете на геймерский форум, ну или блог, где возможно остовлять комменты и склеиваете собственного троя с читом, как беседуютпрофит добрый, ибо игроки отключают личный антивирус.
  2. Тоже самое, но склейка с кряками, опять-таки комментарии на форумах, торрент треккерах и т.д., охват большой может-быт как говорят.

    3. Варезные музыка и клипы, тут способ достаточно простой, делается ярлык, типо музыка/плей лист и т.д. например, терпила его запускает, а вместо него троянчик запускается, ну разумеет музыку/фильмак также можно запускать для отвода глаз. Главное замоскировать свой вирус, что-бы никто не подумал что это исполняемый файл, который запустит ярлык.

  3. Распростронение по почте расширение .src, можно спамить по почте типо там: "Вам пришел счет !", или "Вам пришли деньги ", главное что-бы терпила открыл такой файл, а это исполняемый файлс троянчиком.
  4. Реже используются расширения типо doc.exe, но тут все понятно, это спам на мыло ит.д.
  5. Еще хороший способ, это чудо-программы по взлому вконтакте и т.д., тут вообще много жертв можно найти.
  6. Фишинговые сайты, типо обнови адоб, хром и т.д.
  7. Ну и конечный метод, протроянь взломщика, сходи на хек. борд и выложи там криптор, стиллер и т.д., возможно как в билде, например и в билдере. В последнем случае, некто устроит работу за вас.

https://ufolabs.pro/threads/kak-rasprostranit-virus-sposoby-byvalyx.17

Слог, конечно, так себе, но возможности стилеров описаны исчерпывающе.

Можно ли защититься от стилеров? Некоторые советуют поступить так:

Если хотите убедиться, что в кряке, кейгене, трейнере нет стиллера, – запускаете его на виртуалке, например, настраиваете Malware defender и смотрите, что делает процесс.

Стиллер будет читать все файлы на диске, чтобы найти пароли. Если читает все файлы на диске – посылаете эту программу на 3 буквы. Кряку, кейгену, трейнеру не нужно это делать.

Также подозрительными действиями является внедрение в процесс, например в explorer.exe, в системный процесс. Кряку, кейгену, трейнеру вряд ли нужно это делать.

Можно попрятать пароли по секретным углам в надежде, что стилер не умеет читать настройки браузеров и другого ПО.

Как мы знаем, пароли в браузерах хранятся в спец. файлов

Google Chrome:

XP - C:\Documents and Settings\Username\Local Settings\Application dat\Google\Chrome\User dat\Default в файле “Web dat”

Vista - C:\Users\Username\Appdat\Local\Google\Chrome\User dat\Default в файле “Web dat”

Firefox: Пассы в Firefox хранятся в файле "signons.txt" или "signons2.txt" или "signons3.txt", который лежит тут : [Windows Profil]\Application dat\Mozilla\Firefox\Profiles\

Opera: [Windows Profil]\Application dat\Opera\Opera\ в файле "wand.dat"

но как же их защитить от стиллера ? вы удивитесь как просто это сделать. вам надо только поменять имя или путь где лежат эти файлы

Для того чтоб поменять имя или путь этих фалов надо открыть настройки браузера

как это делается читаем ниже

Для Firefox. Открываем браузер. В поле для url пишем about:config и открываем. Если это ваш первый вход то браузер предупредить вас чтоб вы были осторожны. Вам откроется окно где куча настроек. На верху в поле Поиск пишем signon и даем поиск. Поиск найдет 3 файлов “signon.txt” “signon2.txt” “signon3.txt”. Два раза кликаем по этим файлом и меняем имя. Но не забудьте , если вы "signon.txt" поменяли на "pass.txt" то "signon2.txt" должны поменять на "pass2.txt". Все после этого перезапустите браузер

ВАЖНО! Перед тем как провернуть такую фишку не забудьте удалить все пароли из файлов “signon.txt” “signon2.txt” “signon3.txt”

Для Opera. Как выше уже отметил пассы от Оперы хранятся в файле "wand.dat". Но мы не сможем поменять имя файла, вместо этого мы поменяем место хранение файла. Открываем браузер В поле для url пишем opera:config и открываем. тут тоже в поле поиск пишем wand.dat

в оrне появляется наш файл и путь где он лежит. нажимаем на обзор и открывается окно где лежит файл. в этом же окне копируем wand.dat а потом переходим назад директорией выше

там создаем новую папку. открываем эту папку и сохраняем файл wand.dat (все эти операции мы делаем в окне которая открылась). И все выбираем этот файл и нажимаем "Ок" и все файл с пассами теперь будет лежать там куда мы его скопировали. Старый файл уже можно удалять

Для Chrome. В этом браузере мы несможем поменять что - то. Но это незначит что мы несможем зашитить свои пассы. Для этого есть спец. программа "Chromeplus"

#вредоносное_ПО #терминология #троянец #пароль

Антивирусная правДА! рекомендует

Если вы не сохраняете пароли на компьютере, стилеры для вас не так уж и страшны, но антивирус лучше поставить. Ведь у злоумышленников есть масса других способов поживиться за ваш счет.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: