ГЛАВНАЯ   УСЛУГИ   ЗАКОНЫ   ПРЕССА   КРИПТОГРАФИЯ   PRIVACY   СОРМ   KeyPGP

Способы хищения паролей

   * Subj: Внимание! Зафиксирована попытка взломов паролей Dial-Up! 26 июня 1998 Лабораторией Касперского зафиксирована попытка взлома персональных паролей Dial-Up.

   В качестве инструмента взлома использовалось письмо с порнографическим содержанием и вложенным EXE-файлом, который при запуске искал на жестком диске адресата имена и пароли входа в Интернет, а затем отсылал их своему хозяину.

   Лаборатория Касперского известила о попытке несанкционированного доступа основных Российских провайдеров Интернет и выпустила специальное дополнение к AVP by Eugene Kaspersky, детектирующее и уничтожающее нового "электронного вора".

   "Четыре основных способа добычи информации использовались тайными агентами и шпионами с незапамятных времен: подкуп, шантаж, вино и женщины. Именно последний способ был использован неизвестным злоумышленником для взлома персональных паролей доступа в Интернет. Поскольку Интернет - вещь виртуальная, то, естественно, использовались виртуальные женщины в формате JPG, что, однако не делает виртуальной абонентскую плату за доступ к глобальным сетям" - Е.Касперский Разосланное письмо содержало заголовок "Free SexCD each guest!!!"

   В письмо были также вложены порнографическая картинка и EXE-файл, который собственно и является "троянским конем". Для получения "free CD" требуется всего лишь запустить эту программу, которая "развлекает" пользователя еще четырьмя порнографическими картинками, а сама в то же время ищет на диске ссылки на Dial-Up, вытаскивает из них имена и определяет пароли. Затем результаты "вскрытия" системы отсылаются обратно автору "троянца".

   Технические детали:

   Файл - "троянец" FREECD.EXE написан на MS Visual Basic v 5.0 и для работы требует MSVBVM50.DLL. Имеет достаточно сложную структуру, позволяющую поместить в один достаточно небольшой выполняемый файл несколько различных ресурсов: четыре JPG -картинки и три выполняемых файла, которые в свою очередь объединены в самораспаковывающийся архив, который запускается из вложенного в основной EXE-файл документа Word.

   Основная программа должна распаковать архив и запустить одну из программ в архиве (PWV.EXE), которая выясняет пароли на Dial-Up, а другие (S.EXE и SENM.EXE) отправляет их автору (создает файл MES и посылает его на адрес автора). Во время выяснения и пересылки паролей основная программа должна отвлечь пользователя показом картинок и перечислением "интересных" URL.

   Системные данные изменены таким образом, что в поле "from" стоит фиктивный адрес: gree382@ibm.net. Реальный адрес "хозяина" письма сейчас устанавливается. Наличие адресов российских сайтов недвусмысленно говорит о происхождении "троянца". 

ГЛАВНАЯ   УСЛУГИ   ЗАКОНЫ   ПРЕССА   КРИПТОГРАФИЯ   PRIVACY   СОРМ   KeyPGP

Rambler's Top100 Rambler's Top100
Hosted by uCoz