Różne widziałem cuda ale to mi się spodobało bardzo. Na pewnym forum internetowym możemy przeczytać o standardowym przypadku kiedy trojan wykrada hasło i podmienia zawartość strony. Sam bot aktualizuje się między innymi po WWW z użyciem pozostawionego przez siebie backdoora ale najlepsze w tej całej przygodzie jest to, że wykorzystuje on nader skuteczną technikę ukrywania się. Zacytuję:
Cały kod był czysty, nic nie zostało doklejone do plików .html, .php, ani .htaccess.
Trojan doskonały, nie do wykrycia?
Innymi słowy kod atakuje, nie wiadomo skąd w kodzie go nie ma – można domniemać, że przejęty został cały system operacyjny i podmienione zostały biblioteki lub aplikacje serwera WWW. A nie! W późniejszej wiadomości na forum wszystko się wyjaśnia. I znów zacytuję:
Tym razem do plikow nie ma dopisanego iframa czy kodu js natomiast dopisany jest zwykly kod backdora w taki sposob ,ze przy edycji pliku go nie widac bo jest przesuniety o kilka stron w prawo.
Ja się na prawdę długo starałem wykombinować, jak twórca trojana wpadł na to, żeby ukrywać kod – przesuwając całość mocno w prawo (czyli zapewne dorzucał mnóstwo spacji w linii). Pomysł tak genialny i szalony co skuteczny, jak pokazuje życie. Dla takich przykładów chce się żyć! :]
Zainteresowanych odsyłam do wątku gdyż trojan rzekomo wykorzystuje błędy w Apachu co jest swego rodzaju nowością na rynku. Niedługo po przejęciu hasła do FTP taki trojan będzie uruchamiał środowisko wirtualne, potem system w chmurze, a na końcu będzie tańczył :] Pięknie jest, pięknie!
3 komentarze do
25 grudnia, 2009 o godzinie 09:37
a co, gdy mamy włączone zawijanie wierszy?
26 grudnia, 2009 o godzinie 00:10
łatwo się dokombinować co… będzie wszystko ładnie widać…
28 grudnia, 2009 o godzinie 11:17
Woah, widziałem ten trik w różnych hackme, ale jeszcze nigdy w malware! Dla mnie bomba ;>