Троян для кражи пароля вконтакте

. для себя и для всех

пятница, 13 ноября 2009 г.

Краткое описание
Троянская программа mvk.exe не попадает на компьютер без ведома пользователя, как это бывает с другими. Пользователь сам скачивает и запускает его т.к. думает, что это другая программа (для взлома контакта). Простенькая социальная инженерия 🙂

Что творит в системе или деструктивная активность
После запуска файла mvk.exe он удаляется, после чего появляется окно, в котором предложено ввести ID юзера "В Контакте". Если ввести любой ID и нажать кнопку, то появляется сообщение, что не возможно получить данные, т.к. уязвимость контакта уже закрыли.
Т.ж. троян создает 3 файла во временной папке пользователя (%TMP%), один ярлык в папке автозагрузки, который запускает файл из %WinDir% (этот файл тоже трой делает) и 1 файл в %System%. Т.е. получается 6 файлов.
В добавок трой изменяет ключ запуска проводника в реестре. И файл hosts.

А теперь конкретнее. Файлы:
%WinDir%activate.exe
%System%loio.jho
%TMP%2.tmp
%TMP%3.tmp
%TMP%4.tmp
%StartDir%Quick Office.lnk

И реестр:
Ветка – HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, параметр – Shell, его значение – Explorer.exe rundll32.exe loio.jho soalsv. А должно быть просто – Explorer.exe.

Как лечить
Загрузиться в безопасном режиме (жать F8 после включения компа). Открыть диспетчер задач (Ctrl+Alt+Del или Ctrl+Shift+Esc) и "убить" процесс "activate.exe", если таковой имеется. Потом удалить файлы C:Windowsactivate.exe и C:WindowsSystem32loio.jho, удалить ярлык из папки Автозагрузка (Пуск -> Программы -> Автозагрузка) и удалить все файлы из временной папки пользователя (обычно C:Documents and SettingsИМЯ_ПОЛЬЗОВАТЕЛЯLocal SettingsTemp). Открыть редактор реестра (Пуск -> Выполнить. ввести regedit и нажать ОК), перейти в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, найти параметр Shell, дважды щелкнуть по нему мышкой и заменить его значение на "Explorer.exe" (без кавычек). Т.ж. нужно перейти в папку C:WindowsSystem32Driversetc, открыть файл hosts в блокноте и удалить из него все строки за исключением "127.0.0.1 localhost".

Вы так же можете скачать мою программку для удаления этого вируса – anti_mvk.exe. После запуска anti_mvk.exe и нажатия кнопку "Лечить" исчезнет рабочий стол, а потом компьютер будет перезагружен, поэтому предварительно лучше закрыть все открытые программы для предотвращения утери не сохраненной информации.
ВАЖНО. Утила не сообщает есть ли троян или нет, а тупо пытается вычистить все, что может указывать на наличие трояна в системе, поэтому перезагрузка произдойдет не зависимо от того, есть ли троян или нет.

Краткая техническая информация для IT’шников
В этом разделе кратко опишу как я его анализировал. Может кому будет интересно. Размер файла 19456 байт. MD5-хэш – d5dbd34b12eb653d07ec17287fd3f26c. Судя по всему, написан на Delphi и упакован UPX’ом.
Как уже говорил, спам был в виде граффити на моей стенке в контакте, там была нарисована "ссылка" на vk-****.msk.ru. Если зайти на этот адрес, то происходил редирект на http://vk****-****.blogspot.com/ и уже в этом блоге предлагают скачать этот самый троян, под видом программы для взлома аккаунтов контакта и "включить защиту от взлома своей анкеты" (от последнего чуть под стол не свалился).
В анализе участвовали след. утилиты:
Autoruns – Позволяет определить, какие приложения запускаются автоматически при загрузке системы и выполнении входа в систему. Также показывает полный перечень путей в реестре и на диске, где может быть настроен автоматический запуск приложений.
Process Explorer – Отображает файлы, разделы реестра, библиотеки DLL и прочие объекты, открытые или загруженные различными процессами, а также другую информацию, включая владельца процесса.
AVZ4 – Очень хорошая утилита, помогающая исследовать систему (ВАЖНО. В кривых руках может загубить систему. ).
VirtualBox – виртуальная машина, на ней я исследовал (запускал) вирус.

Для начала запустил Autoruns, подождал пока он отработает и сохранил список. Потом перешел к AVZ4. В нем задействовал функции "Исследование системы", "Резервное копирование" и "Ревизор". После чего запустил Process Explorer, чтобы можно было видеть какие дополнительные (под)процессы запускает троян. Положил на рабочий стол и запустил файл трояна, Process Explorer тут же был закрыт, поэтому я не смог увидеть то, что хотел. Файл трояна с рабочего стола исчез (удалился). Через пару секунд появилось окно трояна, о котором говорилось во втором разделе поста. Снова запустил Process Explorer и увидел от моего имени запущенные процессы svchost.exe и 4.tmp. Первый – родной процесс (файл) винды и запущен был из %System%. Зачем его запустил троян, не знаю, не разбирался. Второй это компонент трояна. Закрыл окно трояна.
Снова запустил Autoruns и AVZ4 и повторил те действия, которые делал до запуска трояна. После чего перезагрузился в безопасный режим и снова повторил эти действия. Далее скинул полученные файлы-отчеты себе на хоста машину (Linux Ubuntu 9.10 Desktop) и уже на ней произвел анализ этих логов (отчетов).
На основе анализа логов, т.е. их сравнении, выяснилось то, что было описано во втором разделе данного поста. Компоненты трояна анализировать не стал. Вот скрины с сайта VirusTotal, на которых видно, как и какие антивири идентифицируют троян и его компоненты (NOD32 меня просто убил своей реакцией на ярлык о_О ) на данный момент, если кому интересно:

Читайте также:  Чернила на принтер canon mp250

Когда речь идет о том, как взломать страницу в социальной сети VK, у большинства пользователей наверняка возникают суровые мысли, но даже «вскрытие» страницы, не совсем классическим путем, иногда бывает очень полезно. Допустим, у вас потерялся телефон и нет возможности восстановить сим – карту, или вы попросту забыли логин своей электронной почты, а в переписке находится очень важная информация – что же делать? Конечно взламывать страницу, ведь процесс восстановления через службу поддержки может занять длительное время. В данной статье мы рассмотрим все возможные пути для взлома, а также исследуем варианты защиты от проникновения на станицу посторонних лиц.

Что такое взлом страницы Вконтакте

Важно понимать, что модный термин «взлом страницы» — не означает, что кто-то проникает в дата-центр ресурса с ломовым инструментом и вскрывает сервер, где расположены данные о посетителях. И это совсем не получение доступа к аккаунту за счет нахождения уязвимых мест сайта с использованием каких-то хакерских разработок, ведь по мнению многих, именно хакеры знают как можно взломать аккаунт Вк.

Единственная возможность зайти в аккаунт от имени пользователя — это распознать его логин и пароль. Запомните: на серверах Вконтакте пароли вообще не хранятся. Присутствуют только некие регулировочные суммы, которые позволяют проверить, действительно ли введённый пароль верный, или нет. Восстановить утраченный пароль по ним нет возможности.

Подобным образом, когда утверждают, что страница «взломана» — это может означать только то, что непосредственно у её обладателя каким -то способом узнали логин и пароль (о способах выявления данных поговорим позже). Так что всё, что вам необходимо, чтобы аккаунт всегда был в безопасности, это осознать, как именно другой человек способен выявить ваши данные, и всячески постараться не допустить этого.

Как взломать страницу Вконтакте самостоятельно

Для того, чтобы взломать свою или чужую страницу вконтакте, для начала нужно узнать принцип подобного действия. Бывалые взломщики страниц рекомендуют несколько способов для взлома страницы. В первую очередь мы рассмотрим самостоятельный взлом страницы.

Стоит заметить, что взломать ВК человека, грамотно использующего систему безопасности – задача не из легких. Например, если применяется подтверждение входа на страницу с привязкой к номеру, нужно не только выявлять пароль, но и иметь доступ к мобильнику. Для более легких ситуаций существует несколько проверенных методов, позволяющих быстро узнать как взломать страницу в ВК.

Если речь идет о вашей странице, на которую вы по тем или иным причинам не можете попасть, то самым распространенным методом взлома будет являться прямой подбор логина или пароля. Вам можно повспоминать пароль и попробовать ввести пароли от других аккаунтов, например, электронной почты и.т.д. Если речь идет о взломе чужой страницы, и вы не имеете доступа к мобильному жертвы, то здесь тоже можно попытаться использовать способ подбора пароля. В большинстве случаев пользователи соцсетей используют под паролями свои данные (дата рождения себя или близких, фамилия, имя и.т.д). Достаточно распознать ID страницы и сделать попытку перебрать все варианты, которые вам могут быть известны.

Другой вариант – стать обладателем доступа к электронной почте. Указанные ранее сведения достаточно часто фигурируют в ящиках электронной почты под контрольным вопросом для возобновления пароля. Достаточно сделать запрос нового и ответить на вопрос – так доступ к ящику электронной почты будет перехвачен. Изменить помощью почты пароль ВК – задача из легких. Теперь вы знаете о том, как взломать страницу Вконтакте самостоятельно. Далее рассмотрим известные программы для решения этой задачи.

Кража логина и пароля фишинговым сайтом

Фишинг логина и пароля – один из вариантов верного взлома вашей страницы. Сейчас мы исследуем что такое фишинг страницы и узнаем, как обезопасить свой аккаунт от этой чудо стратегии по взломам.
Сначала изучим немного терминологию. Слово «фишинг» последовало к нам из английского (англ. fishing — выуживание, ловля рыбы). Смысл этого помысла можно сравнить с настоящей рыбной ловлей и заключается он в том, чтобы закидывать «наживку» хозяину аккаунта и просто ждать, пока тот окажется на крючке и «сольет» данные. Как технически реализуется фишинг паролей, для того чтобы взломать аккаунт вконтакте?

Читайте также:  Активность несколько дней назад скайп

В отличие от различных вирусных атак и знаменитых троянских разработок, фишинг паролей сконструирован более просто, но при этом и более хитро, и зачастую посетители сетей совсем не ощущают подвоха. На самом деле все гениальное просто. Взломщику необходимо скопировать исходный код странички, например, авторизации сервиса почты, и загрузить на хостинг, который находится у него в аренде где он, само по себе, вписал свои данные фиктивно. После он сделал адрес данной страницы очень схожий с оригиналом, допустим, если настоящий адрес был таким: e.mail./login?email, то новый будет таким: e..mail./login?email. Как видим, отличия в одной только точке, наверняка, заметят ее не все.

Кроме этого фиктивная страница, имеет настройки так, что после введения данных они сохранились на хакерском сайте. Так мы исследовали, что есть фишинг паролей. Конечно, при авторизации хозяин аккаунта получит ошибку, но иногда для того, чтобы ввести в заблуждение, взломщик создает скрипт, сообщающий что связка логина и пароля неверна, и так произойдет перенаправление на подлинную страницу авторизации.

Как защитить пароль от фишинга

Теперь следует разобраться с тем, как защитить страницу от фишинга. В первую очередь стоит понимать, никогда не следует переходить по ссылкам, несущим угрозу, особенно если это авторизационные формы каких-либо сервисов и иных служб, чьи данные вам важны. В том случае, когда вы уже авторизовались там ранее, и сессия не была полностью завершена. Во-вторых, обращайте особое внимание на электронный адрес страницы.

Конечно, его создают максимально схожим, но отличия все же присутствуют. В-третьих, нужно помнить, что на каждом устройстве выходящим в Сеть, часто используемым, должен быть антивирус. Все нынешние версии способны распознавать поддельные аккаунты.

Как взломать станицу Вконтакте при помощи «Трояна»

Троянскую программу считают вредоносной программой, которую создают с целью обретения доступа к данным компьютера жертвы для осуществления получения данных.

«Троян» подразделяется на следующие виды:

Снифферы. Это программы, считывающие весь трафик, который проходит по сети, проводит его анализ, вычленяя логины, пароли, и прочие заданные параметры. Даже используя только эту программу, можно знать как взломать аккаунт с помощью Трояна.

Программы- считывания паролей. Это программы, умеющие считывать абсолютно любой текст, который был набран посетителем на клавиатуре. Затем полученную информацию отправляют на электронный адрес взломщика. Допустим, кейлогеры всевозможных классификаций.

Программы для подбора паролей. Это программы, методом перебора разных композиций выбирающие пароль. Популярным случаем данной программы считается брутфорс. Программа обширно распространена в интернете и ее с легкостью возможно скачать в открытом доступе безвозмездно. По мнению многих, это самая плохая программа, т.к. потребует чрезвычайно длинного времени для достижения цели, и далеко не всегда приводящая к результату.

Программы-удаленного доступа. С поддержкою этих программ взломщик получает возможность полного управления компом жертвы, имея возможность задавать команды, делать файлы, копировать файлы, созидать популярные веб-сайты, читать переписку. К таким разработкам относятся бэкдоры всевозможных модификаций. Эти программы считаются более опасными, т.к. позволяют взломщику вести атаку с PC жертвы. Это гораздо усовершенствованная программа, единый минус которой содержится в том, что основная масса бэкдоров занесены в базы антивирусов.

Программы – стиратели. Цель этих программ — ликвидация информации, хранящейся на компе жертвы. Чтобы не появилось подозрений эти программы маскируются под не опасные программы при скачивании которых загружается вирус.

Логические бомбы. Программы вредоносного действия, аналогичные программам — стирателям, но отличающие тем, что длительное время способны скрывать свое присутствие и в заданный временной промежуток начать атаку.

Черви. Вид программ, имеющий способность к самокопированию. Методом многократного клонирования себя в компьютерной системе они усложняют его деятельность, что приводит к его поломке и искажению информации. Теперь вы знаете как взломать страницу Трояном.

Стоит заметить, что защититься от подобных атак достаточно сложно, но возможно. Учитывая все меры безопасности вы снизите риск взлома вашего аккаунта.

Как определить что страница вконтакте взломана

Для того, чтобы с точностью определить взлом страницы и удостовериться в этом на 100%, существует несколько признаков.

Одним из ключевых признаков взлома, считается тогда, если вы присутствуете в общественной сети «онлайн», когда, на самом деле вас в сети нет. Выяснить это просто. Умышленно не заходите в собственный аккаунт Вконтакте в течении нескольких дней и попросите друзей посмотреть за вашей страничкой. В случае если за данный период ваша страничка была активна – значит, кто-то уже догадался как взломать страницу.

Вторым признаком взлома считается присутствие сообщений в папке «Входящие» с пометкой «Прочитанные», что вы видите и читаете первый раз. Это также явный симптом взлома. Значит, данные известия, кое-кто прочитал за вас. (См. Как узнать, прочитано ли сообщение вашим собеседником)

Третьим признаком взлома вполне возможно считать претензии ваших друзей на спам-сообщения с вашего аккаунта Вконтакте. Чаще всего это известия с рекламой, рассылка вредных гиперссылок, записи на стене, просьбы одолжить денег. В случае если поступила хоть 1 аналогичная претензия – незамедлительно смените пароль! Точно ваша страница взломана.

Читайте также:  Как в экселе сделать прокрутку таблицы

Самой успешной, проверкой на взлом аккаунта, считается функция «Безопасность Вашей страницы». Она расположена в опциях вашего аккаунта Вконтакте. Заходите в опции, выбираете раздел «Безопасность страницы». Тут у вас есть возможность посмотреть: когда, в какое время, с какого IP-адреса и браузера осуществлялся вход на вашу страничку. Это, наверное, самый несложной метод ревизии. Ежели ваш IP-адрес: 93.77.217.46, а вход осуществлялся с адреса: 77.121.141.109, тогда у вашей странички 2 хозяина. (Узнать собственный Айпишник возможно при помощи Специализированных программ, находящихся в

Что делать если страницу Вконтакте взломали

В случае если произошел взлом аккаунта вк, не торопитесь вбивать в поисковики запросы о том, «что делать, когда взломали страничку в контакте». Вашему вниманию предлагаются несложные методы поступков, позволяющие минимизировать вред в данном случае.

Основное, что нужно сделать, — выяснить присутствие на нем вирусов. Рекомендуется скачать бесплатную утилиту Dr.Web CureIt! В случае если все в порядке, тогда нужно переходить к последующему пункту; а если обнаружены вирусы, тогда предварительно комп необходимо «вылечить».

Следующим делом смените все пароли, что так или иначе соединены со страничкой. Естественно пароль от страницы. Электронной почты и других соцсетей.
Проверьте все имеющиеся на страничке данные. Не забываете о том, что в том числе и ранее удаленные данные вполне возможно реконструировать, в случае если в кратчайший срок обратиться в службу техподдержки. Так что скорее выявляйте издержки и нарушения, и обращайтесь за поддержкой к профессионалам.

Если вы не имеете возможности зайти на собственную страничку, а переход по гиперссылке «Забыли пароль?» не может помочь решить вопрос, тогда пользуйтесь профилем друга для обращения в службу техподдержки VK. В собственном обращении надо изложить о том, что взлом произошел, и о том, что вы не имеет возможности войти в собственный профиль.
Эксперт свяжется с вами и может помочь решить данный вопрос. Обращения в службу традиционно рассматриваются достаточно быстро, когда дело касается взломов — в среднем около суток.

Для того что бы у злоумышленников не было шансов украсть, взломать вашу страницу мы рекомендуем ознакомиться с (См. Как защитить свою страницу от взлома).

Здравствуй, читатель сегодня поговорим о том почему не надо открывать непроверенные файлы скачанные с неизвестных источников и создадим такой файл чтобы понять что он может наделать на вашем ПК. Создавать мы будем стиллер который соберет все наши пароли и отправит их нам по почте.

Что для этого нужно?

  1. Python 3.x.x
  2. Инструмент для восстановления паролей(в нашем случае LaZagne)
  3. Два аккаунта Google

И так начинаем

Для начала поместим .exe файл инструмента LaZagne в папку с нашим проектом. Далее создадим .bat файл с любым названием(у меня будет main.bat) и файл send.py.

У нас должна получится такая структура:

Пишем код

Откроем файл main.bat и поместим туда код:

Теперь при запуске нашего .bat файла у нас появится файл pass.txt в котором будут все ваши пароли из браузеров(и не только). Осталось только отправить данные на почту. Но как это сделать?

Отправка на почту

Открываем файл send.py и вставляем код:

Теперь нужно настроить и в зависимости от сервиса по которому будете отправлять почту изменяем выделенный код: Google (прежде нужно разрешить доступ для менее безопасных приложений):

Доделываем .bat

Теперь в наш .bat файл добавим код запуска файла send.py и удаления файла pass.txt:

Сборка

Теперь после запуска main.bat ваши пароли будут отправлены к вам на почту но если у вас не установлен Python то ничего не получится нужно превратить наш send.py файл в exe. Для этого открываем консоль и пишем:

Еще но нужно превратить main.bat файл в main.exe, и в этом нам поможет Bat To Exe Converter. Жмем на кнопку с тремя точками(“…”) и ищем ваш файл main.bat, жмем “Открыть”, после чего жмем “Convert” и получаем файл main.exe. Эти три файла и есть наш стиллер, можем отправлять другу и радоватьсяпроверять на работоспособность.

Ссылки

cryptoworld

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога – простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Post Navigation

Как отследить чужой телефон

Сбор информации о человеке из открытых баз данных

Related Posts:

Пишем троян под Андроид

2 comments On Пример трояна для кражи паролей с компьютера

Да да троян на питоне, и все это успешно палится любым антивирусом из коробки. Такие вещи надо на Си писать.

А криптором тебя пользоваться не учили?

Leave a reply: Cancel Reply

Site S >

Denis Matveev

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога – простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector