Автор Тема: Появился новый троянец, угрожающий пользователям SAP  (Прочитано 7553 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
Ну на самом деле оно SAP там как-то побоку.. просто программка перехватывает так же и весь ввод выполняющийся в окне SAP GUI, в принципе сказать что это как-то угрожает именно только SAP сложно... так точно этот кейлогер угрожает любому ПО которое запущено в системе с данным трояном.

Цитировать
Компания «Доктор Веб» сообщила о распространении вредоносной программы, угрожающей пользователям комплекса программных решений для бизнеса SAP. Данное вредоносное приложение относится к представителям семейства банковских троянцев Trojan.PWS.Ibank, которые похищают вводимые пользователем пароли и другую конфиденциальную информацию.

По сравнению с другими вредоносными программами семейства, данный образец отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия, упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников. Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль троянца, способен выполнять две новые команды — одна из них активирует/дезактивирует блокировку банковских клиентов, другая позволяет получить от управляющего сервера конфигурационный файл. Еще одной важной отличительной особенностью Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы, а обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP.
Оригинал: You are not allowed to view links. Register or Login

Оффлайн ysichov

  • Newbie
  • *
  • Сообщений: 40
  • Репутация: +5/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
Идет развитие темы. Ребята как-то плагин к WireShark сделали, который дешифровал SAP TCP/IP трафик.
Загружал его, смотрел. Видны транзакции, коды управляющие, XML пакеты для общения по RFC. Может быть еще что-то. Дальше не интересно было копать.

Тут пишут, что и пароли видны :)
You are not allowed to view links. Register or Login
« Последнее редактирование: Ноябрь 08, 2013, 02:16:43 pm от ysichov »

Оффлайн Uukrul

  • SAP ECC 6.0 Ehp(*)
  • Administrator
  • Epic Member
  • *****
  • Сообщений: 3 809
  • Репутация: +47/-0
  • Пол: Мужской
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
    • Sapforum.BIZ
You are not allowed to view links. Register or Login
Идет развитие темы. Ребята как-то плагин к WireShark сделали, который дешифровал SAP TCP/IP трафик.
Ну это похоже просто шифрование пакетов не включено вообще никакое. Просто идет перехват потока и разбор. В частной жизни конечно встречается, но это проблема даже не SAP-а

Оффлайн ysichov

  • Newbie
  • *
  • Сообщений: 40
  • Репутация: +5/-0
  • YearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYearsYears
You are not allowed to view links. Register or Login
Ну это похоже просто шифрование пакетов не включено вообще никакое. Просто идет перехват потока и разбор. В частной жизни конечно встречается, но это проблема даже не SAP-а

Я это делал в "своей" виртуальной машине, шифрование не включал.

Sapforum.Biz