Xakep #305. Многошаговые SQL-инъекции
Исходники известного банковского трояна Carberp утекли в открытый доступ. При том, что еще неделю назад они были выставлены на продажу за $50 тыс.
Может быть, как и в случае с Zeus, кто-нибудь еще успеет продать исходники Carberp какому-нибудь неосведомленному покупателю. В случае с Zeus подобные истории тогда немало повеселили народ на форумах в первые дни после утечки.
Исходные коды Carberp в RAR-архиве размером 1,88 ГБ сейчас легко находятся Google'ом (не даем прямых ссылок, пусть это будет минимальный, но скрипт-кидис тест). В распакованном виде проект содержит около 5 ГБ файлов, в том числе:
- Исходный текст буткита, km драйверов и всего что работает в km.
- Билдер дропперов.
- Плагины.
- Веб-инжекты.
- LPE эксплойты.
По оценке специалистов антивирусной компании ESET, в архиве есть «огромное количество другой полной и необходимой информации, чтобы начать свой собственный проект по разработке вредоносного кода».
Впечатляет список по семействам вредоносных программ, код которых представлен в архиве с Carberp:
- Ursnif.
- Rovnix (BKLoader).
- Alureon (дроппер старых вариантов).
- Claywhist (VNC).
- Phdet.
- Zeus.
- SpyEye.
- Vundo.
- Сам Carberp.
- Буткит Stoned с эксплойтом Vipin Kumar с Black Hat Europe 2007, определяется как Sinowal.
- Mystic Compressor — обфускатор под Win32.
Очевидно, теперь можно ожидать новой волны креатива со стороны начинающих, так и продолжающих вирусописателей. Кто-то даже пошутил: "Утечка Zeus была как бесплатный автомат. Утечка Carberp -- это уже бесплатный рокет-ланчер"
