Анализируя спам-сообщения, эксперты антивирусной компании Seculert в конце прошлого года столкнулись с неизвестным на тот момент трояном, используемым для целевой атаки на пользователей Ближнего Востока. Наблюдение за активностью трояна, позволило выделить командные центры, которые несколько раз меняли домены и свое местоположение, оставаясь по сей день в рабочем состояние. Первый командный центр находился в Иране, а затем перебазировался в Канаду. Все обнаруженные версии трояна в разные этапы своей деятельности создавали текстовый документ "Mahdi.txt", за что троян получил свое гордое название пророка Махди, который известен своим предсказанием скорого "конца света". После обнаружения трояна Flame (Flamer), исследователи Seculert обратились за помощью в "Лабораторию Касперского", чтобы те проверили существует ли между этими двумя зловредами связь. Связи как таковой не оказалось, за исключением общего региона распространения. Атака трояна Mahdi была направлена на пользователей Ближнего Востока, всего было зафиксировано более 800 заражений в Иране, Израиле, Афганистане, ОАЭ и Саудовской Аравии. Для своего распространения Mahdi использовал спам-сообщения религиозной тематики, которые содержали PowerPoint-презентацию или исполняемые файлы со скрытыми расширениями. После запуска таких файлов, производилось открытие текстового документа, изображения или видео, а вместе с тем выполнялся вредоносный код. В случаях с вложениями в виде презентаций, установка вредоносного кода происходила средствами PowerPoint и требовала от пользователя подтверждения выполнения опасного кода. Детальный анализ Mahdi (Trojan.Win32.Madi) показал, что для распространения трояна не использовались никакие уязвимости. После заражения системы, троян устанавливал себя в автозапуск и связывался с командным центром по HTTP-протоколу. Всего было зафиксировано 4 командных сервера. Троян Mahdi обладал следующими функциями: слежение за нажатиями клавиш; создание снимков экрана через заданный интервал времени или при обнаружение определенного действия пользователя, например открытия веб-сайта социальной сети или IM-клиента; запись звука; поиск и отправка документов заданного типа; получение структуры файловой системы; обновление версии клиентского модуля и функцией самоуничтожения. Примечательно, что код трояна был написан на Delphi и упакован с использованием UPX. Несмотря на явную вредоносную активность, использование простейших средств разработки и распространение через открытые источники, троян Mahdi оставался незамеченным антивирусами более 8 месяцев. Некоторые аналитики высказывают свои предположения, что обнаруженный троян мог стать ответом хакеров с Ближнего Востока на троян Stuxnet. Учитывая "успехи" современных антивирусных систем, у разработчиков такого уровня даже может что-то из этого получиться. 18/07/2012 00:48 http://uinc.ru/news/sn18453.html
Delphi-троян Mahdi продолжает уверенно развиваться Троян Mahdi (он же Madi), который более 8 месяцев оставался незамеченным популярными антивирусами, попал под пристальное внимание экспертов «Лаборатории Касперского». На днях, ими был зафиксирован новый образец трояна Madi, написанный на языке программирования Delphi. По анализу заголовка исполняемого файла, он был скомпилирован 25 июля этого года. Новая версия Mahdi включает в себя множество интересных доработок и новый функционал. Появилась возможность отслеживания посещений веб-сайтов, содержащих определенные ключевые слова, среди которых названия популярных интернет-сервисов, в том числе соцсеть "ВКонтакте". После обнаружения ключевого слова, троян делает снимок экрана и отправляет его на сервер управления, размещаемый, как и прежде, в Канаде. Вообще, в отличие от предыдущей версии, троян обрел большую самостоятельность, он теперь не ждет команд от сервера управления, а выполняет слежение и при необходимости отправляет данные на сервер. Управляющий сервер также претерпел ряд изменений, в нем появились механизмы автоматической обработки данных, получаемых от зараженных систем. Скрипты, которые использовали старые версии Mahdi, были удалены. В новой версии трояна появился контроль установки кейлоггера через библиотеку "datikal.dll", кроме того были оптимизированы функции самого клавиатурного шпиона. Таким образом, результаты исследования на сегодняшний день показывают, что кампания Mahdi по-прежнему продолжается, а злоумышленники, стоящие за ней, занимаются распространением и отладкой новых версий с улучшенным функционалом и новыми трюками. Некоторые аналитики высказывают свои предположения, что обнаруженный троян мог стать ответом хакеров с Ближнего Востока на троян Stuxnet. Подтверждением тому, может стать использование при отслеживании веб-активности таких слов, как «USA» и «gov». 27/07/2012 16:09 http://uinc.ru/news/sn18557.html
Школьник написал ололо-бота на основе исходников из интернетов, чтобы ДДОСить сайт своей школы, дабы мамка не смотрела там оценки. Ну и заодно красивых асечек с номерами кк наловить, он же КУЛХАЦКЕР как-никак. Касперский этот ололо-ботнет нашел и на нем в очередной раз попиарился. Весело живем, чо.