Идейные воры
18 мая 2018
Те, кто интересуется информационной безопасностью, наслышаны о шифровальщиках, банковских троянцах, кейлоггерах – об этих вредоносных программах пишут часто и много. Но арсенал злоумышленников ими не ограничивается. Слышали ли вы, например, о стилерах? Между прочим, этот класс вредоносного ПО – далеко не последний по численности.
Стилер (Stealer - от английского to steal, воровать) – вредоносное ПО, предназначенное для кражи сохраненных в системе паролей.
Вот пример стилера:
Trojan.PWS.Stealer.23012. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты. Ссылки ведут на серверы Яндекс.Диск. Чтобы убедить посетителя сайта нажать на ссылку, на страничках роликов публикуются комментарии, явно написанные из-под поддельных аккаунтов.
Запустившись на инфицированном компьютере, троянец собирает следующую информацию:
- файлы Cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
- сохраненные логины/пароли из этих же браузеров;
- снимок экрана.
В день создается более десятка стилеров
Многие вредоносные программы наряду с другими возможностями обладают функционалом кражи паролей. Например, те же банковские троянцы. В отличие от них, стилеры – воры «идейные», они специализируются только на паролях.
Теперь об основных фичах стилеров. Чаще всего эти троянчеги воруют сохраненные пароли из браузеров (акки, банки и т.п.), FTP-клиентов и IM-клиентов (шестизнаки и т.п.).
Интересно, что стилеры весьма часто притворяются нужными программами.
UFR Stealer — программа для граббинга паролей, файлов и прочей информации при помощи флэшки, FTP-сервера или гейта. Основная цель использования — «заимствование» документов, файлов с паролями и прочих важных данных.
Тулза имеет очень гибкую систему настроек граббинга — т.е. можно стянуть только нужные файлы, имеет несколько ступеней фильтрации и т.д. Хорошая альтернатива трояну Pinch 3 (Пинч3).
Мое мнение: очень даже неплохой стилер, можно скачать, сделать через него троян, ходить по друзьям с флешкой и «заимствовать» их пароли. Например, от ВК или одноклассников.
P.S. Данное ПО антивирус может определять как вирус (рекомендуем перед запуском отключать антивирусы на некоторое время), т. к. это хакерская программа, и антивирусы их “не любят”. Удачи!!! Ворует пароли от всех известных браузеров (Опера, Хром, Експлорер), от аськи и даже от Танки Онлайн и т. д. Советую всем, сам пользуюсь=)
Да уж, хороший друг, нечего сказать…
Стилер, пользуясь уязвимостями или паролями, установленными по умолчанию, проникает в хранилища паролей и похищает их содержимое. Как он попадает на компьютер? Вот что пишут сами злоумышленники:
- Протроянь игрока: Идете на геймерский форум, ну или блог, где возможно остовлять комменты и склеиваете собственного троя с читом, как беседуютпрофит добрый, ибо игроки отключают личный антивирус.
- Тоже самое, но склейка с кряками, опять-таки комментарии на форумах, торрент треккерах и т.д., охват большой может-быт как говорят.
- Распростронение по почте расширение .src, можно спамить по почте типо там: "Вам пришел счет !", или "Вам пришли деньги ", главное что-бы терпила открыл такой файл, а это исполняемый файлс троянчиком.
- Реже используются расширения типо doc.exe, но тут все понятно, это спам на мыло ит.д.
- Еще хороший способ, это чудо-программы по взлому вконтакте и т.д., тут вообще много жертв можно найти.
- Фишинговые сайты, типо обнови адоб, хром и т.д.
- Ну и конечный метод, протроянь взломщика, сходи на хек. борд и выложи там криптор, стиллер и т.д., возможно как в билде, например и в билдере. В последнем случае, некто устроит работу за вас.
Варезные музыка и клипы, тут способ достаточно простой, делается ярлык, типо музыка/плей лист и т.д. например, терпила его запускает, а вместо него троянчик запускается, ну разумеет музыку/фильмак также можно запускать для отвода глаз. Главное замоскировать свой вирус, что-бы никто не подумал что это исполняемый файл, который запустит ярлык.
https://ufolabs.pro/threads/kak-rasprostranit-virus-sposoby-byvalyx.17
Слог, конечно, так себе, но возможности стилеров описаны исчерпывающе.
Можно ли защититься от стилеров? Некоторые советуют поступить так:
Если хотите убедиться, что в кряке, кейгене, трейнере нет стиллера, – запускаете его на виртуалке, например, настраиваете Malware defender и смотрите, что делает процесс.
Стиллер будет читать все файлы на диске, чтобы найти пароли. Если читает все файлы на диске – посылаете эту программу на 3 буквы. Кряку, кейгену, трейнеру не нужно это делать.
Также подозрительными действиями является внедрение в процесс, например в explorer.exe, в системный процесс. Кряку, кейгену, трейнеру вряд ли нужно это делать.
Можно попрятать пароли по секретным углам в надежде, что стилер не умеет читать настройки браузеров и другого ПО.
Как мы знаем, пароли в браузерах хранятся в спец. файлов
Google Chrome:
XP - C:\Documents and Settings\Username\Local Settings\Application dat\Google\Chrome\User dat\Default в файле “Web dat”
Vista - C:\Users\Username\Appdat\Local\Google\Chrome\User dat\Default в файле “Web dat”
Firefox: Пассы в Firefox хранятся в файле "signons.txt" или "signons2.txt" или "signons3.txt", который лежит тут : [Windows Profil]\Application dat\Mozilla\Firefox\Profiles\
Opera: [Windows Profil]\Application dat\Opera\Opera\ в файле "wand.dat"
но как же их защитить от стиллера ? вы удивитесь как просто это сделать. вам надо только поменять имя или путь где лежат эти файлы
Для того чтоб поменять имя или путь этих фалов надо открыть настройки браузера
как это делается читаем ниже
Для Firefox. Открываем браузер. В поле для url пишем about:config и открываем. Если это ваш первый вход то браузер предупредить вас чтоб вы были осторожны. Вам откроется окно где куча настроек. На верху в поле Поиск пишем signon и даем поиск. Поиск найдет 3 файлов “signon.txt” “signon2.txt” “signon3.txt”. Два раза кликаем по этим файлом и меняем имя. Но не забудьте , если вы "signon.txt" поменяли на "pass.txt" то "signon2.txt" должны поменять на "pass2.txt". Все после этого перезапустите браузер
ВАЖНО! Перед тем как провернуть такую фишку не забудьте удалить все пароли из файлов “signon.txt” “signon2.txt” “signon3.txt”
Для Opera. Как выше уже отметил пассы от Оперы хранятся в файле "wand.dat". Но мы не сможем поменять имя файла, вместо этого мы поменяем место хранение файла. Открываем браузер В поле для url пишем opera:config и открываем. тут тоже в поле поиск пишем wand.dat
в оrне появляется наш файл и путь где он лежит. нажимаем на обзор и открывается окно где лежит файл. в этом же окне копируем wand.dat а потом переходим назад директорией выше
там создаем новую папку. открываем эту папку и сохраняем файл wand.dat (все эти операции мы делаем в окне которая открылась). И все выбираем этот файл и нажимаем "Ок" и все файл с пассами теперь будет лежать там куда мы его скопировали. Старый файл уже можно удалять
Для Chrome. В этом браузере мы несможем поменять что - то. Но это незначит что мы несможем зашитить свои пассы. Для этого есть спец. программа "Chromeplus"
Антивирусная правДА! рекомендует
Если вы не сохраняете пароли на компьютере, стилеры для вас не так уж и страшны, но антивирус лучше поставить. Ведь у злоумышленников есть масса других способов поживиться за ваш счет.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
17:15:16 2018-08-03
Неуёмный Обыватель
13:10:01 2018-05-21
И это не совет Доктора, а цитата с псевдохакерского сайта, где таким образом предлагают обезопасить себя. При том, эта цитата датирована 2012 годом, когда ChromePlus был намного круче обычного Chrome.
А Доктор же нам прописал не хранить пароли в браузере вообще и установить антивирус.
a13x
04:55:31 2018-05-21
Круто всё же было бы, если б Доктор Веб взялись за выпуск своего браузера ;)
Tokugawa
18:06:03 2018-05-20
Судя по информации из Вики (https://ru.wikipedia.org/wiki/CoolNovo), ChromePlus сейчас называется CoolNovo и является не специальной программой, а веб-браузером, альтернативным Google Chrome, основанным на проекте Chromium с движком WebKit. То есть для Chrome предлагается установить Chromium-альтернативу и надеяться, что стилеры не сталкивались с такими зверями.При этом проект Chromium существует уже достаточно давно...
ArtemiyKurs
08:47:44 2018-05-20
anatol
19:51:19 2018-05-19
zsergey
18:55:18 2018-05-19
Пaвeл
15:17:16 2018-05-19
razgen
23:09:39 2018-05-18
Dvakota
21:57:21 2018-05-18
Marsn77
21:49:00 2018-05-18
ek
21:42:48 2018-05-18
Ольга
21:12:34 2018-05-18
orw_mikle
21:10:21 2018-05-18
kva-kva
20:56:47 2018-05-18
Andromeda
20:55:03 2018-05-18
duduka
20:53:56 2018-05-18
mk.insta
20:36:31 2018-05-18
Littlefish
20:32:45 2018-05-18
Альфа
20:32:45 2018-05-18
Владимир
20:30:27 2018-05-18
Littlefish
20:28:35 2018-05-18
Шалтай Александр Болтай
20:14:14 2018-05-18
Сергей
20:09:06 2018-05-18
Damir
20:03:16 2018-05-18
Toma
18:42:42 2018-05-18
Lia00
17:00:15 2018-05-18
МЕДВЕДЬ
16:57:20 2018-05-18
La folle
16:54:54 2018-05-18
Татьяна
16:08:53 2018-05-18
razgen
16:01:55 2018-05-18
Согласен, вариант идеальный.
Но для многих практически неосуществим.
Попробуй запомнить все пароли, количество которых несколько десятков.
Почтовые ящики, различные соцсети, различные форумы, сайты, облачные хранилища, госуслуги, налоги.
Личные кабинеты: карт торговых сетей, банков, мобильной связи, интернет и TV провайдеры, покупки билетов РЖД и т.д. Ну это, так по быстрому навскидку. У меня одних только почтовых ящиков больше десятка.
Здесь даже если не упорядочить записи в тетрадке, то сразу не найдёшь.
Но наиболее часто используемые в пределах, не более десяти, держу в голове, что позволяет не лезть постоянно в тетрадку.
razgen
15:36:06 2018-05-18
marisha-san
15:27:25 2018-05-18
Геральт
15:21:05 2018-05-18
Biggurza
15:15:17 2018-05-18
Уже перестали мне они сниться,
Когда-то они позволяли мне встречу,
С друзьями моими: «Хэлло! Добрый вечер!»
Дурные мелодии душу тревожат,
Слонами шагают мурашки по коже,
Паук кулаками в окно барабанит:
«Эй, парень, очнись, тебя кто-то грабит!»
И тут понимаю, опасность для клира,
Какой-то Stealяга пароль уже стырил.
С концом ускользает отмычка от денег.
Куда? Я не знаю и нет даже мнений.
А дальше, шепнет залогиниться чертик,
А сэйвов и нет - все давно уже спёрты.
И только ночами бывает приснится
Забытый пароль от ненужной страницы.
P.S.
Берегите пароли смолоду, аки рубаху снову!
Dmur
14:56:45 2018-05-18
Lex
14:54:16 2018-05-18
razgen
14:50:21 2018-05-18
I23
14:28:42 2018-05-18
eaglebuk
13:40:49 2018-05-18
Дмитрий
13:31:34 2018-05-18
os17
13:07:07 2018-05-18
EvgenyZ
12:59:25 2018-05-18
vinnetou
12:30:45 2018-05-18
Ruslan
12:28:54 2018-05-18
toporova
11:41:31 2018-05-18
Неуёмный Обыватель
11:03:42 2018-05-18
Masha
10:33:36 2018-05-18
Natalya_2017
10:23:53 2018-05-18
Alexander
10:10:44 2018-05-18
Стил'ер не предлагает выбор: или стил'ьная жизнь, или жизнь под стил'етом, - он несет обе позиции сразу. Опасно, однако, и очень неприятно. Потери могут стать трудно восполнимыми.
Профилактика мер безопасности только усилит защищенность от стилеров. Чистить браузеры от остаточной сохраненной информации надо постоянно, не будет вредным и несколько раз в одном сеансе.
Безусловно, Dr.Web Security Space нас оградит и от этой напасти. И верх безрассудства выключать его даже на короткое время.