Стилер для кражи паролей

Речь пойдет вовсе не про Бена Стиллера — голливудского киноактера. И даже не про тупых геймеров задротов которые шмаляют в своих и тырят халяву. Нет, нет. Речь пойдет о так называемых программах программах «Стилер». Этот софт можно отнести к разряду вредоносных, к типу- троян. Все стилеры не смотря на разных производителей имеют одинаковую философию — воровать данные с компьютера жертвы (логины и пароли) и отправлять их злоумышленнику (своему хозяину).

Отправка данных может проходить как в зашифрованном виде, так и в голом. Украденные данные отправляются на мэйл или на гейт, но также стилер может их просто складировать к себе в папку... это если стилер у Вас на флэшке и Вы пришли и сели за комп своего «друга» в данном случае стилер можно настроить так чтоб отправлял данные на вашу флэшку.

Вытаскивание данных идет моментальное, но данные по инету могут не отправится если стоит фаирвол или антивирус, хотя это опять же зависит от условий настройки стилера. Иногда бывает что данные не могут отправиться если на компе жертвы установлены эмуляторы такие как VMware или VirtualBOX и прочий софт.

Многие стилеры напичканы дополнительными фичами. Например при создании билда можно изменить иконку или склеить его с другой безобидной программой.

Многие говнохакеры или скрипт-кидеры (как их называют) удивляются почему пришло мало данных на гейт? Объясняю! Потому что умные юзеры не сохраняют пароли в браузере или в FTP-клиентах. Я предпочитаю хранить пароли на бумажных носителях, например в записной книжке.

Известно, что пароли в браузерах хранятся в спец. файлов​

Google Chrome:

XP —
C:\Documents and Settings\Username\Local Settings\Application dat\Google\Chrome\User dat\Default
в файле “Web dat”

Vista —
C:\Users\Username\Appdat\Local\Google\Chrome\User dat\Default
в файле “Web dat”

Firefox:
Пассы в Firefox хранятся в файле «signons.txt» или «signons2.txt» или «signons3.txt».

Который лежит тут : [Windows Profil]\Application dat\Mozilla\Firefox\Profiles\

Opera:
[Windows Profil]\Application dat\Opera\Opera\
в файле «wand.dat»

но как же их защитить от стилера ?
вы удивитесь как просто это сделать
вам надо только поменять имя или путь где лежат эти файлы
Для того чтоб поменять имя или путь этих фалов надо открыть настройки браузера
как это делается читаем ниже

Для Firefox
Открываем браузер
В поле для url пишем about:config и открываем
Если это ваш первый вход то браузер предупредить вас чтоб вы были осторожны
Вам откроется окно где куча настроек
На верху в поле Поиск пишем signon и даем поиск
Поиск найдет 3 файлов “signon.txt” “signon2.txt” “signon3.txt”
Два раза кликаем по этим файлом и меняем имя
Но не забудьте , если вы «signon.txt» поменяли на «pass.txt» то «signon2.txt» должны поменять на «pass2.txt»
Все после этого перезапустите браузер

ВАЖНО! Перед тем как провернуть такую фишку не забудьте удалить все пароли из файлов “signon.txt” “signon2.txt” “signon3.txt”

Для Opera

Как выше уже отметил пассы от Оперы хранятся в файле «wand.dat»
Но мы не сможем поменять имя файла, вместо этого мы поменяем место хранение файла

Открываем браузер.
В поле для url пишем opera:config и открываем тут тоже в поле поиск пишем wand.dat в окне появляется наш файл и путь где он лежит, нажимаем на обзор и открывается окно где лежит файл, в этом же окне копируем wand.dat а потом переходим назад директорией выше там создаем новую папку открываем эту папку и сохраняем файл wand.dat (все эти операции мы делаем в окне которая открылась). И все выбираем этот файл и нажимаем «Ок» и все файл с пассами теперь будет лежать там куда мы его скопировали. Старый файл уже можно удалять.

Вот и все. Уже стилер не сможет украсть ваши пассы. Так как мы поменяли место хранение файла.

Для Chrome

В этом браузере мы несможем поменять что — то, но это незначит что мы несможем зашитить свои пассы
Для этого есть спец. программа «Chromeplus».

Но конечно для всего есть альтернатива для тех кто не хочет копаться в настройках есть программа «Kasperky Password Manager» устанавливаем и защищаемся.

Еще важный момент о котором нельзя не упомянуть. Все стилеры что лежат в паблике палятся антивирусом, так что придется криптовать. Криптор нужно покупать иначе выбирая криптор из паблика Вы не сможете обмануть антивирус. Хотя это и козе понятно.

Если нас всеже обокрали...

Не всё так плохо, как кажется на первый взгляд, ведь у нас есть Wireshark
На примере UFR

Нам понядобятся:

  • Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка.
  • Wireshark
  • Виртуалка (Oracle VirtualBoх)

Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее.
Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем «Start», тем самым начиная сниффинг.

Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.

Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.

Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово «ftp» и жмем «Enter»:

Мы получили список пакетов, отправленных по FTP:

На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.
Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).
Попробуем словить адрес гейта. Убираем «ftp» из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку «UFR», остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись.

Обезьяна со стилером попалась, собираем кибер-братию и идём бить морду.
Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.
Остается только мыло. Для этого в поле фильтрации вбиваем строку «smtp» и видим такое:

Декодируем логин и пароль от мыла отправителя веб-морды, заходим в почту и меняем пароль (чтоб отомстить).

Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хрени. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.

Метки записи: