Post Scriptum...

Дневник: (3517) Видео: (142) Фотоальбом: (3011) Цитатник: (661) Лента Профиль->
« Предыдущая запись Следующая запись »

Отдел безопасности (часть 3) - pinch

Понедельник, 30 Апреля 2007 г. 19:05 (ссылка) + в цитатник +поставить ссылку

Pinch - троянская программа PSW типа (воровство паролей) разработанная coban2k в 2002/2003 году. Наибольший пик популярности пришёлся на 2003-2005 годы, однако с тех пор было выпущено множество модификаций, во многом тому, что можно было без проблем скачать его исходники. Принцип работы заключался в том, что пользователь, заимевший плохую мысль украсть пароль или пароли других пользователей, в редакторе Пинча (PinchBuilder) создаёт файл трояна по своим запросам и требованиям и далее начинает распространять этот файл. Попадая на компьютер жертвы при запуске трояна он начинает себя копировать в какую-нибудь их системных папок (Windows, System 32 и другие в зависимости от модификации трояна, название файла или файлов также зависит от модификации) и сканирует такие программы, как ICQ (начиная с ICQ99 и заканчивая самыми новейшими версиями), Miranda IM, Trillian, AIM, &RQ, The Bat!, Outlook, Internet Explorer (в т.ч. броузеры на его ядре, например Maxthon), Opera, Mozilla/Netscape, FAR Manager, Windows/Total Commander и многие другие программы (список поддерживаемых программ может меняться в зависимости от модификации) на наличие и присутствие в них сохранённых паролей (FTP, авторизации, DialUP подключение, почта, ICQ и т.д.) и отсылает их все на e-mail злоумышленника. Кроме того поддерживается самоуничтожение трояна после исполнения "миссии", некоторые модификации могут всячески скрывать своё пребывание от пользователя и антивирусных программ.

Обнаружение Pinch'a вполне возможно и без антивирусных средств, однако далеко не каждым пользователем. Прежде всего стоит обратить внимание, что тело трояна занимает не более 10-20 килобайт, а также в большинстве случаев этот файл не имеет собственной иконки. После заражения стоит в первую очередь просмотреть системные папки, в частности Pinch 1.0 (самый первый Пинч) копировал себя в папку Windows под названием pinch.exe и ставил себя в автозапуск. Однако лучше всё-же держать на своём компьютере антивирусные средства, такие как Kaspersky, Dr.Web, NOD32, Avast, Safe'n'sec, Symantec и пр.

====================

Помнится и я попадал под заражение Пинча (даже несколько раз), в начале это было в сентябре или октябре 2004 года, когда злоумышленник украл мой аккаунт РОЛ'а на доступ в Интернет и начал под ним сидеть (около 3-х часов спёр), однако я вовремя позвонил в службу поддержки провайдера и мне вернули аккаунт, а мега-хакеру пришлось иметь дело с правоохранительными органами за нарушение статьи 273 Уголовного кодекса РФ.

Второй раз я заразил себя специально, это было зимой 2005 года, когда мы с одним решили проверить этот самый Пинч, заодно посмотрели, что за информация высылается злоумышленнику, после чего, я действительно офигел от обильности такой информации, что заставило меня пересмотреть политику безопасности на компьютере.

Третий раз был недавно, на этот раз был заражён ноутбук и с помощью него была украдена аська моего брата.

PS Что дальше? Вместо того, чтобы ловить этих мега-хакеров, правоохранительные органы ловят безобидных блоггеров за какие-то там записи и комментарии... Позор!