10.07.2009, 22:21
Pojawilo sie nowe cudo w sieci. ''Inteligentny'' trojan, zasada jego dzialania jest prosta - trojan pod postacia programu, najpierw sprawdza czy w systemie zainstalowane jest oprogramowanie SandboxIE.
Jesli chcesz go uruchomic w srodowisku SbIE, nie chce sie uruchomic, uruchomienie mozliwe jest poza SandboxIE, lub po zmienieniu nazwy SbIE na jakas inna.
Program ''trojan'' dziala rowniez przy wlaczonym LUA, nie tworzy zadnych katalogow, czy wpisow w rejestrze. Wykonuje natomiast zrzuty, ktore przesyla na jeden z dostepnych wczesniej zdefiniowanych w kodzie trojana serwerow FTP:
people-ftp.freenet.de:21 (ftp)
login = bernd30519
passwd = ******
Zrzuty maja postac plikow z nazwa: %machinename%_%username%.plog ktore sa zapisywane w katalogu root''a na serwerze.
Co zawieraja te zrzuty tego jeszcze nie wiadomo.
Tego typu przypadek jest przypomnieniem dotyczacym funkcjonalnosci SandboxIE, o ktorym czesto sie zapomina - otoz SbIE nie informuje o niczym/o zadnej czynnosci podejmowanej przez dowolny program uruchamiany w srodowisku piaskownicy. SbIE jedynie izoluje go w oddzielnym kontenerze na dysku. To sprawia ze programy ktore popularnie zwane sa keyloggerami, screenloggerami, camloggerami, etc - moga dzialac wewnatrz srodowiska SbIE tak dlugo az nie ''spluczemy'' piaskownicy, usuwajac cala jej zawartosc.
Jesli chcesz go uruchomic w srodowisku SbIE, nie chce sie uruchomic, uruchomienie mozliwe jest poza SandboxIE, lub po zmienieniu nazwy SbIE na jakas inna.
Program ''trojan'' dziala rowniez przy wlaczonym LUA, nie tworzy zadnych katalogow, czy wpisow w rejestrze. Wykonuje natomiast zrzuty, ktore przesyla na jeden z dostepnych wczesniej zdefiniowanych w kodzie trojana serwerow FTP:
people-ftp.freenet.de:21 (ftp)
login = bernd30519
passwd = ******
Zrzuty maja postac plikow z nazwa: %machinename%_%username%.plog ktore sa zapisywane w katalogu root''a na serwerze.
Co zawieraja te zrzuty tego jeszcze nie wiadomo.
Tego typu przypadek jest przypomnieniem dotyczacym funkcjonalnosci SandboxIE, o ktorym czesto sie zapomina - otoz SbIE nie informuje o niczym/o zadnej czynnosci podejmowanej przez dowolny program uruchamiany w srodowisku piaskownicy. SbIE jedynie izoluje go w oddzielnym kontenerze na dysku. To sprawia ze programy ktore popularnie zwane sa keyloggerami, screenloggerami, camloggerami, etc - moga dzialac wewnatrz srodowiska SbIE tak dlugo az nie ''spluczemy'' piaskownicy, usuwajac cala jej zawartosc.
Creer,
Member of the Alliance of Security Analysis Professionals
Member of the Alliance of Security Analysis Professionals