23:04
17/9/2011

Sanjar Satsura odnalazł błąd SQL injection w botnecie SpyEye. Jak widać, nawet “zła strona mocy” nie jest wolna od błędów.

SQL injection w SpyEye

Przypomnijmy, że SpyEye to botnet nastawiony na zysk. Z zainfekowanych komputerów wykrada głównie dane dostępowe do bankowości online oraz informacje dotyczące transakcji wykonywanych kartami kredytowymi. Niedawno złączył się z ZeuSem, a jego kod, który normalnie kosztuje ponad tysiąc dolarów, wyciekł do sieci i można go pobrać za darmo.

ZeuS kod źródłowy

SpyEye/ZeuS: kod źródłowy

Na atak podatne są wszystkie wersje C&C SpyEye. Błąd znajduje się w pliku frm_cards_edit.php. Kod exploita na SpyEye jest dostępny tutaj. Gdyby ktoś chciał go na czymś przetestować, to na pewno przyda się ten adres :>

P.S. Warto przypomnieć, że to nie pierwszy SQLi w SpyEye. Analiza “wyciękniętego” kodu źródłowego chyba procentuje…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

9 komentarzy

Dodaj komentarz
  1. Dało by się np:
    Zniszczyć tego botta automatycznie załatać systemy:
    * Instalacja darmowo oprogramowania antywirusowego
    * np dodanie do host blokowanie domeny .ch etc etc et
    * usunięcie z komputerów adobe readera -> zainstalowanie sumatra PDF
    * Usunięcie internet explorera i instalacja automatyczne Firefoxa z włączonym Adblokiem taka sama ikona
    * I najlepsze zmiana defaultowej wyszukiwarki na Binga to by zrobiło naprawdę rozpierdziel w sieci

    • nie do konca rozumiem, no ale sproboje nawiazac konwersacje : – NIE, ponad polowa ludzi uzywajacych kompy nie wie co to darmowy antyvir, wola uzywac przestarzalego softu za ktory zaplacili, juz nie mowiac ze nie przejdzie w firmach – blokowanie domen juz sie odbywa jesli ktos ma normalnie ustawiony firewall plus zew. DNS – problem z usunieciem adobe readera jest taki ze wszystko inne jest zbyt skomplikowane dla normalnego uzytkownika -instalacja firefoxa z adblockiem – buhahahahahahaha – dawno sie tak nie usmialem, jeszcze dowaliles usuniecie IE z systemu – zmiana wyszukiwarki nic nie da, tym bardziej na Binga, ktory zeby bylo smieszniej prowadzi otwarta polityke promowania tylko i wylacznie swoich partnerow, wszystko co jest przeciw MS jest be kolejny wanabeadmin

    • Sumatra ma wycieki pamięci, Reader X nie jest zły bo Foxit to już mułem się zrobił.

  2. IE nie da się usunąć w Windzie ;) IE jest nieodłączną częścią systemu (i eksploratora windows ;) )

    • Nie ma czegoś takiego jak “nie da się” – krążą legendy o magikach, którzy tego mitycznego czynu dokonali :P

    • Windows 2008 Server R2 Core???
      :Lub PS i cmd można ubić explorer.exe i iexplorer.exe, na czas debugowania uwolni swoje .dll -> tniesz co chcesz ręcznie, licząc *.exe.

  3. Byli już eksperci, którzy w ten sposób (może bez Binga ;) naprawiali świat. Niestety i na szczęście z uwagi na kwestie prawne, nie jest to takie łatwe. Delikatną metodą posłużyła się ekipa, która wyłącznie informowała zainfekowanych użytkowników o problemie:

    http://bothunters.pl/2010/11/13/holendrzy-prawie-wylaczyli-botnet-ktory-zainfekowal-30-milionow-maszyn/

  4. IE da się usunąć wystarczy usunąć skrót z pulpitu to wystarczy dla połowy użytkowników. Choć folder z IE także da się wywalić

  5. @Borys Łącki To akurat pamiętam gdyż akurat wtedy instalowałem kvm na swoim serwerze niezły był tam zamęt wtedy. Ivoswitch to dobra firma a jak tam jestem to zawsze się tam objadam darmowym jadłem :) . Z tego co się orientuje to w jednym poniszczeniu są squidy wikipedii ale nie da tam się wejść gdyż całe pomieszczenie jest zarezerwowane. Tą firmę omijają od jakiegoś czasu sieci bittorent etc gdyz nawet jakiś czas temu udostępnili dane osoby która hostowała tam torrenty

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: