|
Полностью взломали
|
|
HateLove  | Дата: Вторник, 29.05.2012, 23:14 | Сообщение # 1 |
Титул:
go pcw
Сообщений: 1992
| Кароче взломали аккаунты в Steam'e,аккаунты в почтах.
Незнаю что будет.
Все старые логи(Skype,mail,Steam не добавляйте),сделки не ведите.
Спокойной ночи.
На уме один вопрос,как я вирус подцепил.(
|
| |
| |
EvilCat1337  | Дата: Вторник, 29.05.2012, 23:18 | Сообщение # 2 |
Сообщений: 19
| HateLove, Порнушку, без антивируса смотреть не нужно.
Ну если конечно такое было)
Добавлено (29.05.2012, 23:18)
---------------------------------------------
HateLove,
Одна из моих версий.
Code Хм, очень странно, ты не давно спрашивал про сайт с айпи skype. Вдруг тебя теперь (Тип) взломали, и ты специально кидать пойдёшь чтобы не чекнули, ведь доказать что именно ты уже не возможно)
Сообщение отредактировал EvilCat - Вторник, 29.05.2012, 23:19 |
| |
| |
Kolabrod  | Дата: Вторник, 29.05.2012, 23:19 | Сообщение # 3 |
Сообщений: 8362
| убирай подпись и темы с продажей сюда накидай
я закрою
https://vk.com/kolabrod
сразись с моим брутом -_-
|
| |
| |
r00t-bag  | Дата: Вторник, 29.05.2012, 23:19 | Сообщение # 4 |
Сообщений: 229
| Quote (EvilCat) Хм, очень странно, ты не давно спрашивал про сайт с айпи skype. Вдруг тебя теперь взломали, и ты специально кидать пойдёшь чтобы не чекнули, ведь доказать что именно ты уже не возможно
Имеет смысл.
|
| |
| |
| HateLove | Дата: Вторник, 29.05.2012, 23:24 | Сообщение # 5 |
Титул:
go pcw
Сообщений: 1992
| EvilCat, балванчик,я спрашивал для того чтобы чекнуть одного парня,он мне автоинвайтер продал(думаю он вирус кинул),а в логах почты сохранились IP кулхацкера,вот я сверить хотел.
Добавлено (29.05.2012, 23:21)
---------------------------------------------
Kolabrod, кк
Добавлено (29.05.2012, 23:24)
---------------------------------------------
Kolabrod, villain512,дай инфу о нем пожалуйста в ЛС,IP адрес и т.д.
Сообщение отредактировал HateLove - Вторник, 29.05.2012, 23:42 |
| |
| |
kiIA_  | Дата: Вторник, 29.05.2012, 23:36 | Сообщение # 6 |
Титул:  Сообщений: 3941
| HateLove, Есле у тебя есть коробка с игрой на которой написан ключ вообще не важно от какой игры то ты спасен , пишешь в стим суппорт , потом они говорят сделайте фотоснимок ключа и с низу приписав номер который они дадут , а потом они тебе сбросят пасс с акка , только до этого ты должен успеть вернуть почту , сочувствую сам был в такой ситуации  Добавлено (29.05.2012, 23:35)
---------------------------------------------
вроде все так Добавлено (29.05.2012, 23:36)
---------------------------------------------
Скайп тоже ламанули ? о_о
♥
|
| |
| |
| HateLove | Дата: Вторник, 29.05.2012, 23:38 | Сообщение # 7 |
Титул:
go pcw
Сообщений: 1992
| Quote (kiIA_) Скайп тоже ламанули ?
Успел на другой майл перерегать.
|
| |
| |
|
| Abister | Дата: Вторник, 29.05.2012, 23:44 | Сообщение # 9 |
Сообщений: 1672
| Quote (HateLove) Полностью взломали
зря
|
| |
| |
Whispering  | Дата: Среда, 30.05.2012, 00:43 | Сообщение # 10 |
Титул:
We can’t stop here, this is bat country
Сообщений: 963
| HateLove, это не Villain и не Fire, если автоинвайтер брал у них.
|
| |
| |
| Nuke | Дата: Среда, 30.05.2012, 01:35 | Сообщение # 11 |
Сообщений: 807
| Quote (HateLove) На уме один вопрос,как я вирус подцепил.(
Да очень легко.
Обычно взламывается сайт и добавляется плавающий фреим(iframe) на глав.страницу(для большего эффекта фрейм может находится на нескольких страницах). При переходе на страницу со фремом происходит его расшифровка и редикт на серв с эксплойт-паком. Серв с паком определяет винду, версию браузера, версию флеша и джавы.
Предположим что уязвим браузер.
Серв с эксплойт-паком совершает редикт на страницу с эксплойтом для браузера, после редикта происходит эксплуатация уязвимости эксплойтом, в случае успеха через дыру в браузере, на комп скачивается payload или нагрузка. Нагрузка это все что угодно: троян, руткит, фейковый авер, винлок, лоадер. В последнее время очень популярны буткиты с плагинами.
Буткиты с плагинами это MBR-руткит + набор dll. Набор dll может определятся в зависимости от страны. На западе чаще всего это шпионящие dll, у нас это ddos модули.
Писать только в жаббер [email protected]
Сообщение отредактировал Nuke - Среда, 30.05.2012, 01:57 |
| |
| |
| Whispering | Дата: Среда, 30.05.2012, 02:06 | Сообщение # 12 |
Титул:
We can’t stop here, this is bat country
Сообщений: 963
| Nuke, у меня есть версия проще, ему просто закинули стилер.
|
| |
| |
| Nuke | Дата: Среда, 30.05.2012, 02:10 | Сообщение # 13 |
Сообщений: 807
| Quote (Whispering) ему просто закинули стилер.
Стилеры не актуальны, да и ловятся всеми аверами проактивкой.
Писать только в жаббер [email protected]
|
| |
| |
| Whispering | Дата: Среда, 30.05.2012, 02:13 | Сообщение # 14 |
Титул:
We can’t stop here, this is bat country
Сообщений: 963
| Nuke, а крипторы для чего придуманы, ну не все ловятся, сразу скажу.
|
| |
| |
| Nuke | Дата: Среда, 30.05.2012, 02:49 | Сообщение # 15 |
Сообщений: 807
| Quote (Whispering) а крипторы для чего придуманы, ну не все ловятся, сразу скажу.
Крипторы защищают от эвристики, эмуляторов, песочниц, а перед проактивкой они бессильны.
Проактивка не анализирует код, структуру, импорт, она перехватывает вызываемые стилером API функции, короче говоря анализирует его поведение.
Стилеры обычно используют FindWindowEx для поиска доверенного процесса(explorer.exe или svchost.exe), после нахождения процесса надо в него внедрится. Для этого вызывается дескриптор процесса через функцию OpenProcess, после открытия процесса используется выделение памяти посредством вызова функции VirtualAllocEx, после этого копируем внедряемый код через WriteProcessMemory и создаем удаленный поток через API функцию CreateRemoteThread.
В итоге получилось что такое: FindWindowsEx/OpenProcess/VirtualAllocEx/WriteProcessMemory/CreateRemoteThread. Это все находится в коде стилера и именно это ищут эвристики, и именно от эвристики защищают крипторы. Но что бы работать надо распаковать криптор и вызвать всю эту компанию после распаковки, а после распаковки криптор уже ни от чего не защищает и именно в этот момент на смену эвристике приходит проактивка. Рассказывать про работу проактивки, а именно про перехват функции, бессмысленно. Слишком сложно.
Писать только в жаббер [email protected]
|
| |
| |
