Стилер (от англичского to steal, воровать) — определенный класс троянов (малваре вирусов, как хотите), функционал которых полностью состоит из фич кражи сохраненных в системе паролей и отправка оных автору (хе-хе, наёбываю — тот, кто впаривает малварь чаще всего не автор, а пользователь или покупатель).

Теперь о паролях. Какому-то гению хуй знает когда пришла одна чудная идея — сохранять введенный юзером пароль. Вроде как удобно, да? В общем и целом да, очень и очень. Не нужно каждый раз вспоминать хер знает какой пароль, да и на стойкости паролей это положительно отразилось — можно придумать хардкорный пароль, сохранить в программе и благополучно забыть о нём. Только люди чаще всего дебилы. Не только пользователи, но и программисты тоже. Одни полуёбки-кодеры решили хранить пароль юзера в открытом виде, типа "а нахуй он кому сдался". Другие же как-то пароли ксорят при хранении, ну т.е. шифруют чего-то, но в общем случае это всё постная хуйня.

Стилер, пользуясь наивностью чукотских программистов, залазит в хранилища часто используемых программ и нагло пиздит оттуда все логины, пароли и т.п. Следующий, он же последний этап работы программ данного класса — отправка вкусняшек злоумышленнику (это наш парнишка!). Вот как-то так всё это и работает.

Из всего вышеописанного следует один громадный минус подобного софта: если пароли не сохранены, то парнишке-злодею стилер покажет хуй вместо паролей от банковских счетов и паролей на платные гей-копро порно-сайты.

Теперь о основных фичах стилеров. Чаще всего эти троянчеги воруют сохраненные пароли из браузеров (акки, банки и т.п.), FTP-клиентов (если попадется хороший сайт, то пароли можно хорошо продать) и IM-клиентов (шестизнаки и т.п.). Отправка паролей может происходить в открытую - т.е. уже расшифрованные голые пароли передаются на гейт или еще куда, или же в зашифрованном виде. В идеале — в таком виде, чтобы никто кроме нашего парнишки не смог бы добраться до украденных паролей.

Логи (ну т.е. сразу пачка паролей от пользователя) в большинстве случаев отправляются злодею на FTP-сервер, на гейт или на почту.

Как продолжение поста, опишу вкратце что я хочу сделать и чего добиться.

В общем, цель — поиск аномалий в PE EXE. Неверно заполненные поля, всякие антидамповые пляски с хедером файла, отсутствие rich-сигнатуры или еще чего — такая пакость должна детектироваться. В общем эт я о чем, если есть у кого толковые мысли или идеи по этому поводу, то я всегда рад их услышать.

Вот он, очередной уродливый софт. Дитя аборта, матери шлюхи и отца-членодевки. Дамы и господа, приветствуйте Exeinfo PE (http://www.exeinfo.xwp.pl/)

GUI делал гондон какой-то, не иначе. Кнопки милипиздрические до немогу, автор наверное сидит и упарывает эти крутые кодесы перед древним ЭЛТ в 640x480. Остальные элементы интерфейса не менее идиотичны, при проклацивании можно детально рассмотреть чудную прорисовку КОРТИНОК, КНОПАЧЕК И ШРЕВТОВ.

За каким-то хуем оно при наведении курсором мыши на некоторые области, тулза показывает детали моей системы — память, разрешение экрана и количество мониторов. НУ ПИЗДЕЦ НАХУЯ ТАКОЕ ДЕЛАТЬ?! Я сам, блядь, знаю это и мне нахуй не упала эта информация в программе подобного рода.

Вся эта злоебота привела к тому, что уже В САМОЕ ГОВНО УПАКОВАННЫЙ фаел тулзы весит 800 КБ. Прилепите туда еще 3D-меню, управление через кинект и рассчет энтропии на GPU — выйдет самое оно. А размер — эт хуйня, 100 мегобитами сейчас все владеют, пару десятков метров выкачать как нехуй делать. Ну и дотнета туды залепить, чтобы еще в придачу пол гига сервиспаков стягивать. Это автору чжешка-пшешка-хуешка-совет, СТАНИТ ЛУЧШИ ГОВАРЮ ТЕБЕ!!!

Да, автор еще чтит гузноёбские законы нумерования версий. Судя по About'у тулзе уже целых 5 лет, а still jerking v0.0.3.0

Ну и под конец обзора стоит упомянуть намерения автора шинковать зеленую капусту качанами и талоны пачками — на сайте висит фраза "( freeware version )". Исполинский пиздец, я в шоке. Хитрый ход? Автор пишет еботню, а не софт, и просит деньгу чтобы можно было скачать уже нормальный софт без хуетени? Или он просит шекели за ЕЩЕ БОЛЬШЕ КРУТЫХ НЕИБАЦЦА фич? Чёрт возьми, может он уже и сделол 3D морду. Гатовим виртуальные портмоне, ПЛОТИМ @ КАЙФУЕМ.

Криптор (aka cryptor) — это тулза, которая предназначена для скрытия троянов, ботов и прочей нечисти от детектирования антивирусами. Крипторы можно разделить на 2 вида: хорошие и дерьмовые.

Хорошие крипторы работают очень просто, быстро и надёжно, хоть и не безглючно. Они дописывают свой код (в контексте таких крипторов этот код называется стабом) в криптуемую программу и шифруют код самой программы. При запуске первым стартует стаб, он восстанавливает оригинальный код и программа начинает работать. Если криптор свежий (или просто хороший, об этом ниже), то закриптованная программа не будет детектироваться антивирусами.
Чаще всего такие крипторы полиморфны — т.е. код криптора в криптуемой программе каждый раз уникален, заполнен случайными инструкциями и бессмысленными вызовами функций API. Такие крипторы достаточно долго остаются недетектируемыми в силу уникальности каждого закриптованного файла. Но, как говорится, на каждую хитрую жопу найдется хуй с винтом — такие крипторы тоже со временем детектируются, и если автор не чистит свой продукт, то криптор перестает быть уникальным и посылается нахуй.

Другим же типом крипторов являются стабовые крипторы. Вообще только дебил будет называть это криптором, но в силу ебанутости и многочисленности авторов таких творений, мы не будем отрываться от стаи.
Итак, быдлокрипторы. Суть их работы вот в чем — есть стаб. Стаб в этом случае — это отдельная программа, к которой цепляется криптуемый файл. При запуске файл извлекается, расшифровывается и запускается. Ничего не напоминает? Да, ребятушки, джоинер, как он есть.
Некоторые крипторы напрямую файл на диск не пишут, а запускают его из памяти, но это их не оправдывает, т.к. продвинутый антивирус словит это при запуске как нехуй делать.
В таких крипторах уникальность каждого закриптованного файла достигается разными стабами. Но такой подход весьма ограничен — в хороших криптах это всего-лишь код, и его можно сгенерировать, а со стабами в говно-крипторах уже сложнее, поэтому авторы чаще всего создают под каждого клиента отдельный стаб. Подход глуп до безобразия, ведь ежели спалится антивирусами один закриптованный файл — за ним полетят и все остальные.

Началось все с одной фичи, которую я хотел сделать в SignDetect'e — поиск детектов по импортам. Но благодаря некоторым особям на это был забит хуй и совместными усилиями была рождена идея совсем другой тулзы — что-то вроде эвристического сканера. Ну я конечно же нагло пизжу, это не эвристика, скорее искатель аномалий в бинарнике. Т.е. она будет искать всякие нестандартные параметры файла, за которые могут цепляться аверская братия. В теории это поможет сбрасывать не сигнатурные детекты.

Идея сцуко сидит, а времени делать нет. В общем оставайтесь на связи и следите за труЪ-сообщениями в бложеке, в скором времени будет релизенг.

Планирую запилить несколько статей для полных баранов новичков, а то уже действительно заебли. Первую попытку можно увидеть ниже. Все факи будут иметь тег FAQ, в менюшке под шапкой запилен линк на список всех факов.

Джоинер (также биндер, joiner, binder) — программа для склеивания нескольких файлов (к примеру картинки в формате JPG и трояна в виде исполняемого файла EXE) в один контейнер. При запуске контейнер извлекает из себя файлы и запускает их.

Чаще всего джоинеры используются для маскировки запуска вредоносных программ. Простейший вариант использования описан выше — склеиваем фотографию с вирусом. В итоге жертва запускает контейнер, видит фотку, а тем временем запускается троян и делает свое дело.

Джоинеры бывают разные, крутые и не очень. Некоторые позволяют настраивать множество опций - куда контейнер будет извлекать файлы (иногда это важно), будет он запускать файлы скрыто или по-обычному (т.е. если программа имеет окна - при запуске они будут видны, в скрытом режиме запуска никаких окон видно не будет, даже если автором программы это было задумано) и т.д.

Также большинство джоинеров позволяет настраивать внешний вид контейнера — иконку, информацию о версии и т.п.

Все, абсолютно все джоинеры создают контейнеры в виде исполняемых файлов EXE. Т.е. вариант склеить изображение с трояном и получить файл jpg — невозможно. Данный вопрос периодически поднимается на форумах, но увы — решения нет. Также некоторые джоинеры позволяют создавать контейнеры с расширением scr, pif и com — но контейнер все-равно остается EXE'шником.

В некоторых джоинерах есть опция мелтинга, о ней стоит рассказать подробнее. Во многих случаях она очень полезна. Суть вот в чем: при создании контейнера мы выбираем один из склеиваемых файлов. При запуске контейнера файлы извлекаются и запускаются, как и положено. И если мелтинг был включен и один из склеиваемых файлов был выбран — при запуске контейнер заменит себя выбранным файлом. Да, немного запутанно, на примере будет проще: склеиваем песенку с трояном, выбираем в настройках мелтинга файл песни, и для пущего эффекта прикрепим к контейнеру иконку аудио-файла. При запуске контейнер извлечет оба файла, запустит их и заменит себя песенкой.