На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2001-3-14 на главную / новости от 2001-3-14
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 14 марта 2001 г.

Хакерский инструмент в новой редакции стал еще опаснее

В интернете распространяется новая версия мощной и широкоизвестной хакерской программы SubSeven, которая позволяет атакующему получить почти полный контроль над компьютером жертвы.

В ближайшее время создатель SubSeven планирует выпустить SDK с модульной архитектурой, как это делают производители легального ПО, что еще больше затруднит антихакерским и антивирусным компаниям борьбу с этим злом.

По данным Internet Security Services (ISS), в версии 2.2 появился ряд новых возможностей, таких как поддержка proxy-систем, способность подслушивать через любой произвольный порт, анализатор пакетов с графическим интерфейсом пользователя и средства передачи информации об исследуемых машинах на веб-сайты через CGI (common gateway interface). Предыдущие версии SubSeven часто использовались для внедрения на удаленные машины агентов, при помощи которых впоследствии инициировались атаки типа denial-of-service. Благодаря новой возможности CGI-оповещения злоумышленники могут легко настроить ПО на автоматический сбор информации, поступающей от таких агентов. Это означает возможность концентрировать ресурсы множества машин с внедренными на них агентами SubSeven и распределять их между атакующими.

Новое грозное оружие?
«Столь широкие возможности делают SubSeven наиболее ярким примером нового класса угроз для компьютерной безопасности, — говорит директор исследовательской группы ISS X-Force Крис Руланд (Chris Ruland). — Мы наблюдаем процесс концентрации в одной программе нескольких угроз, таких как DDoS, вирусы и агенты. Тот факт, что в ней используются средства облегчения работы, например GUI, свидетельствует о широких возможностях ее использования. SubSeven может стать грозным оружием в борьбе против Windows-машин».

ПО SubSeven, которое еще называют Backdoor-G, впервые появилось два года назад и написано крэкером по имени Mobman. Его агенты обычно засылаются через новостные группы или по e-mail в скрытых файлах. Попав в целевой компьютер, такой агент создает в каталоге Windows собственную копию под именем того файла, из которого он был запущен. Затем он распаковывает DLL (dynamic link library) в системный каталог Windows и изменяет реестр Windows таким образом, что всякий раз при загрузке Windows запускается SubSeven.

В результате атакующий получает возможность выполнять на этой машине практически любые операции, доступные локальному пользователю, включая чтение паролей, модификацию системного реестра и редактирование или удаление файлов.

Чем дальше, тем страшнее
Новая версия еще опаснее. Кроме всего перечисленного, SubSeven 2.2 может отправлять запись действий пользователя по указанному адресу, что позволяет атакующему узнавать пароли и другие важные данные. Анализатор пакетов может регистрировать сетевой трафик и отправлять его атакующему, который, используя эту информацию, получает возможность организовывать новые атаки.

Поддержка proxy-систем SOCKS4 и SOCKS5 затрудняет экспертам правоохранительных органов работу по выслеживанию атакующих, так как те получили возможность прятаться за другие машины, расположенные между злоумышленником и жертвой. И все это в дополнение к способностям предыдущей версии открывать FTP-серверы, составлять список украденных паролей, выполнять приложения, менять различные параметры и т.д. и т.п.
Обсуждение и комментарии

imageman - imagemanmail.lv
14 Mar 2001 5:21 PM
Новый супертроян? Касперскому он уже знаком?
Попутно -- а вдруг и микрософт что-то подобное держит у себя в системе?
 

Я
14 Mar 2001 7:19 PM
2imageman: Ну о том что Микрософт держит что-то подобное сомневатся может только слабоумный.
 

Гроб
15 Mar 2001 7:18 AM
Да все держат. В унихах подобные вещи чуть ли не в штатную поставку системы входят. Естественно, без этих наворотов для ламеров
 

eXOR
15 Mar 2001 7:30 AM
2 Гроб: Ага все эти средства называются telnet client... ;-) Все что тут перечислено можно сделать обычным telnet'ом, а если к нему перл прикрутить, тады ваапше будет рулезь...
---------
 

Patria - xxxxx.ru
15 Mar 2001 8:15 AM
Но все забыли одну простую истину - всегда остаются следы по которым можно найти чела (было бы желание :-)). И кстати, недавно так и произошло - нашли мы такого "любителя" - а вот что было дальше... Это уже другая история ;-)).
 

Лысый
15 Mar 2001 8:53 AM
Очень интересно про "дальше..." услышать.
 

Qrot
15 Mar 2001 9:39 AM
Опять шум из ничего! обычный троян, сколько их еще по сети шляется, никому неизвестно...
2patria: лучше про дальше расскажи
 

Вкуц
15 Mar 2001 10:41 AM
Типичная статья-пугалка. ИТ-манагЕрам так понравился 2000й год и его "проблема", что срочно выдумывается новая "смертельная угроза" под которую просто будут бабки выкачиваться. Обратите внимание на фразу что кто то там прячется за промежуточную машину. Это же намек на то, что надо по узлам распологать снифферы, более продвинутые трассировщики и все такое...
Скоро появятся сообщения типа что там то поезда столкнулись из-за СТРАШНОГО БЕЛОРУССКОГО ХАКЕРА и начнецца очередная охота на ведьм под которую умные люди поднимут неплохие бабки. Собственно и мне обломится их немного на общей волне :)))))))))
Господа, это просто обычный PR....
 

Вахтеров - test2000.ru
15 Mar 2001 11:37 AM
Если бы Майкрософт держал у себя в коде такое, то его бы уже давно нашли хорошие хакеры и пользовались ;)
 

Thunderer - thundererchat.ru
15 Mar 2001 1:28 PM
To imageman:

А что, Касперский - панацея от всех бед.
За этот, не побоюсь сказать, бронепоезд под названием AVP, который жрет до фига ресурсов я бы такие деньги платить не стал.
Поэтому непомешает сначала спросить Данилова.
Хотя, м.б., это сообщение и сотрут за рекламу в неположенном месте.
Но у человека должен быть выбор.
AVP примерно такой же монополист, как и Windows, только в своем роде, но это не значит что он best of the best.
Немножко не по теме, но все же
 

alice
15 Mar 2001 7:00 PM
да, что-то на ZDNet'е в последнее время зачастили такие вот "пугалки-раздувалки". что ни говори, а обзоры по безопасности у них -- не самое сильное место :-/
а насчет троянов... IMHO 1) их внедрение в систему по большому счету является не большей "брешью в безопасности" систем чем, скажем, возможность по дурноте юзерской запуска format c: и 2) не так страшен черт, как его малюют :) не было еще ни одного "невидимого" трояна под виндозу, поскольку его там не так просто замаскировать (хотя можно ;)
лучше бы занялись образованием юзеров... лицензии бы что-ли выдавали на право пользования ПК по аналогии с водительскими правами ;)
 

Dmitry Grigorovich - odipbiogate.com
16 Mar 2001 10:21 AM
To alice:

Да - насчет лицензий для пользователей ПК - это грамотно, а то действительно, чтобы сесть за машину надо сдавать на права, а что использовать ПК, который на пару порядков сложнее - ничего не надо знать: Бери и тыкай мышкой
 

eXOR
16 Mar 2001 10:28 AM
2 alice: Нет, не прав ты, сильно не прав. Замаскировать тройн в винде очень просто - достаточно его в run-services (в случае для win9x), для win NT - его можно пришлепать к dll'ке, заменив ей какую - нибудь system32.dll. Да это самые простые способы, есть более хитрые - на придумывании методов борьбы с этими способами и зарабатывают деньги ДанилоФФ и Лодзиински ;-)
Конкретные примеры: BO, BO2K - трояны... потом тот же DonaldDick... найти их конечно можно, но такого трояна, который было бы нельзя в принципе найти...
 

Serge
16 Mar 2001 10:55 AM
Как чего замаскировать - спросите у Касперского. Он таких троянов и прочей дряни уже столько понаписал...
 

alice
18 Mar 2001 2:44 AM
уважаемый eXOR, насчет пришлепать к длл-ке -- это вы правильно заметили, выщемливать это дело трудновато. если же в run-services просто кладется что-то лишнее -- вылавливается с пол-пинка, надо только заглядывать туда время от времени. но вот еще что... трояны _такого сорта, что описаны в статье обязательно слушают какой-то
 

alice
18 Mar 2001 2:46 AM
(ччертов voyager, продолжаю...)
...обязательно слушают какой-то порт, а это запрятать потруднее, особенно если не пытаться подменить, скажем, netstat :)
не сбрасываем со счетов также персональные файрволлы и снифферы...
насчет незнания этих вещей рядовым юзером -- см. пункт про лицензии на пользование ПК ;)
 

eXOR
18 Mar 2001 7:28 AM
2 alice:
Ну про run-services согласен... только вот честно, часто приходится смотреть свой run-services? Не думаю, что чаще, чем раз в неделю... а для нормального трояна этого срока вполне достаточно.
Про персоональные файерволлы... ну узают -то они стандартные функции, в стандартной dll'ке -> можно это дело подменить... они останутся слепы ;-)..
Про сертификацию на использование - на это никто не пойдет минимум по двум причинам:
1) Как сообщают в IDC продажи PC и так сильно падают
2) Это уничтожит неплохой рынок работы (аникейщиков)
Эти две причины не все, просто имхо они самые важные.;-)
 

Гроб
18 Mar 2001 3:34 PM
Это алармистская статья. Ведь западные антивирусы, во всяком случае, McAfee и NAV, не ловят эту хрень и ей подобные. Те же BO, DonaldDick и прочие бэкдоры к хакерским программам удаленного управления. Кстати, в последних апдейтах к AVP этот самый SUB7 новый есть.
 

 

← февраль 2001 7  11  12  13  14  15  16  19  20 апрель 2001 →
Реклама!
 

 

Место для Вашей рекламы!