Появился новый троянец, угрожающий пользователям SAP

[Uukrul]

Ну на самом деле оно SAP там как-то побоку.. просто программка перехватывает так же и весь ввод выполняющийся в окне SAP GUI, в принципе сказать что это как-то угрожает именно только SAP сложно... так точно этот кейлогер угрожает любому ПО которое запущено в системе с данным трояном.

Компания «Доктор Веб» сообщила о распространении вредоносной программы, угрожающей пользователям комплекса программных решений для бизнеса SAP. Данное вредоносное приложение относится к представителям семейства банковских троянцев Trojan.PWS.Ibank, которые похищают вводимые пользователем пароли и другую конфиденциальную информацию.

По сравнению с другими вредоносными программами семейства, данный образец отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия, упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников. Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль троянца, способен выполнять две новые команды — одна из них активирует/дезактивирует блокировку банковских клиентов, другая позволяет получить от управляющего сервера конфигурационный файл. Еще одной важной отличительной особенностью Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы, а обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP.

Оригинал: http://www.osp.ru/news/2013/1107/13021797/

[ysichov]

Идет развитие темы. Ребята как-то плагин к WireShark сделали, который дешифровал SAP TCP/IP трафик.
Загружал его, смотрел. Видны транзакции, коды управляющие, XML пакеты для общения по RFC. Может быть еще что-то. Дальше не интересно было копать.

Тут пишут, что и пароли видны :)
http://www.daniel-berlin.de/security/sap-sec/sniffing-sap-gui-passwords/

[Uukrul]

Идет развитие темы. Ребята как-то плагин к WireShark сделали, который дешифровал SAP TCP/IP трафик.

Ну это похоже просто шифрование пакетов не включено вообще никакое. Просто идет перехват потока и разбор. В частной жизни конечно встречается, но это проблема даже не SAP-а

[ysichov]

Ну это похоже просто шифрование пакетов не включено вообще никакое. Просто идет перехват потока и разбор. В частной жизни конечно встречается, но это проблема даже не SAP-а

Я это делал в "своей" виртуальной машине, шифрование не включал.