Февральский фуршет
-
-
- malwarecoder
- 15.02.2011 5:16
- ↑
- →
1. много народа в этой сфере. ловят единицы и только тех, кто зарвался - воруют бабло с карточек или шантажируют сайты. на остальных пох и у органов людей не хватает.
2. специалистов, чтобы ловить, в органах нет.
3. хорошо шифруюсь. -
-
-
- stukalov_sergey
- 15.02.2011 5:13
- ↑
- →
какой антивирус порекомендуете? нод32 нормальный? а то у меня с ним были проблемы.
-
-
-
- malwarecoder
- 15.02.2011 5:19
- ↑
- →
против специалиста антивирус не поможет. они детектируют в лучшем случае вчерашний экземпляр, на нормальных проектах в сутки выходит от 2 до 5 новых недетектируемых обновлений.
нод32 неплохой в плане эвристики, но выход обновлений у них опаздывает примерно на полтора суток. против всякой мелочи поможет, или винт от старья почистить. -
-
-
- malwarecoder
- 15.02.2011 5:37
- ↑
- →
1) учился в техническом вузе на программиста. правда, профильные предметы знал лучше преподавателей.
2) сейчас нет. в свободном плавании.
3) когда винда спрашивает, желаете ли вы обновить какой-то файл, пусть даже это флеш-плеер для просмотра крайне необходимого порноролика, - всегда отвечать нет. использовать Seven с последним комплектом обновлений, желательно x64 и IEx64. это защитит вас от 75% подозрительных творений. на оставшиеся 25% приходится работа профессионалов и от нее прямой защиты нет, разве что пересесть за мак или линух. -
-
Что поможет от таких вещей: http://habrahabr.ru/blogs/infosecur
ity/113787/#comments ? Мак и линь, как понимаю, не вариант, особенно если java машина стоит.
Ещё вопрос: сколько в среднем зарабатываете в месяц? Насколько прибыльное дело, вообще? -
-
- malwarecoder
- 15.02.2011 5:49
- ↑
- →
от таких вещей помогает внимательно читать страницу и правила использования интернет-банкинга. там всегда пишется, что вводится только один пароль, следующий вводить нельзя. 90% проколов совершают сами юзеры по невнимательности.
зарабатываю $10 000-$20 000, особо за деньгами не гонюсь. если поставить цель зарабатывать $30 000 - в принципе реально. -
-
-
- malwarecoder
- 15.02.2011 5:58
- ↑
- →
креками в глубоком детстве баловался. сейчас неинтересно и неприбыльно. получать меньше $500 в день вообще не спортивно, а на крек уйдет минимум час, обычно больше. серьезные защиты типа донглов или виртуальных машин занимают несколько дней. нет такого софта, чтобы его было не дешевле купить легально.
креки обычно делают менее квалифицированные в программировании люди, у них и цены ниже. а некоторые и бесплатно.
консультации против взлома - нет, я в этой теме давно не разбираюсь. можно погуглить и найти много грамотных людей за разумные деньги. -
-
-
- malwarecoder
- 15.02.2011 15:01
- ↑
- →
те, кто заказывает такие продукты. месячный оборот по небольшому проекту обычно $30k и более, для серьезных там цифры от 100k. разработка окупается за месяц обычно.
к примеру, блокиратор винды требует от юзера две смс по 300 рублей. 50% забирает оператор, 10% контент-провайдер, итого 240 рублей прибыли. в день блокиратор скачивает и ставит более 10 тысяч юзеров. 2.4 миллиона рублей в день. 90% распределяется между множеством групп партнеров, которые просто распространяли файл или ссылку на сайт. самому главному достается в день 240 тысяч рублей. из этих денег он может спокойно заказывать и разработку и ещедневное обновление продукта, и еще на безбедную жизнь останется. -
-
-
- malwarecoder
- 15.02.2011 5:43
- ↑
- →
есть полно тематических форумов, там полно веток. вообще выгоднее найти партнеров и под них делать релизы, это и безопаснее.
для mssql - продукт не массовый, достаточно специфический, заинтересует определенную небольшую группу, которая вылавливает сервера. стоимость зависит от качества исполнения - просто краш или готовая утилита для создания и запуска сплоита и последующего удаленного кода. вообще 0-day в полном исполнении в одни руки стоит порядка $10k, в несколько рук по схеме подписки и саппорта - $500-$2000 -
-
-
- malwarecoder
- 15.02.2011 6:09
- ↑
- →
в основном С+asm, менее квалифицированные используют Delphi. Раньше на VB писали, сейчас уже почти нет. Очень редко встречается экзотика типа C#/VB.NET. Остальные варианты относятся к развлекалову.
для внедрения сплоита и некоторых вариантов перехвата данных используют скрипты на html страницах - vbscript/jscript, иногда java.
серверная часть php, perl, иногда С++. -
-
-
- jedi_padavan_2
- 15.02.2011 6:16
- ↑
- →
Если захочу попробовать - с чего начать? Есть какие-нибудь мануалы, туториалы и тп?
-
-
-
- malwarecoder
- 15.02.2011 6:22
- ↑
- →
Расслабтесь. Нормального качества продукта достигают единицы, имея за плечами опыт программирования в 10 лет и более. Остальные делают отковенный шлак, который никто не покупает, в поисках наживы скатываются в воровство кредиток и зачастую оказываются за решеткой.
-
-
-
- jedi_padavan_2
- 15.02.2011 6:32
- ↑
- →
Но ведь и они с чего-то начинали) А мне так, из любопытства. Плюс - зная, как это работает, проще от этого избавляться.
-
-
-
- malwarecoder
- 15.02.2011 6:35
- ↑
- →
я начинал с вирусов на asm под dos. из туториалов была документация по прерываниям и справочник по системе команд x86.
сейчас актуально учить чистый С, а туториалов, включая готовые исходники, немеряно. -
-
-
- malwarecoder
- 15.02.2011 16:08
- ↑
- →
написать нетрудно. трудно сделать, чтобы в течение нескольких месяцев он ничем не детектировался.
-
-
-
- krechet_off
- 15.02.2011 6:05
- ↑
- →
как взломать клиент pokerstars.com и выйграть у всех все бабло? Это вообще реально?
-
-
-
- malwarecoder
- 15.02.2011 6:15
- ↑
- →
насколько мне известно, на таких сайтах игроки играют между собой. так что взлом клиента делается с целью обыграть других игроков. в клиенте нет данных о раскладах, всем рулит сервер, взлом клиента просто позволяет запускать несколько копий и автоматизировать игру, расчитывать вероятности и тем самым увеличивать свои шансы. но в любом случае это риск, несмотря ни на что у другого игрока может оказаться лучше комбинация.
на разных форумах я встречал несколько раз темы про создание таких ботов и вроде есть и спрос и предложение. вообще тема реальная, раз есть движуха. но надо в разработку вложить порядка $30k, потом еще в игру столько же. и придумать как бы так выигрывать, чтобы не сразу забанили. -
-
-
- krechet_off
- 15.02.2011 6:22
- ↑
- →
согласен боты это реальная тема, если играть в соответствии с четким алгоритмом то в турнирах например можно 2 конца поднять, знакомый так 10 000 баксов в мес. рубит, единственное целый день нужно сидеть и играть, да неотслеживаемый бот был бы очень гуд
-
-
-
- malwarecoder
- 15.02.2011 6:25
- ↑
- →
неотслеживаемый бот - это IP-KVM на нескольких выделенных серверах по всему миру.
и ничего придумывать не надо, не понимаю, почему никто этого не делает.
хотя, может и делают, но хорошо скрывают. -
-
-
- krechet_off
- 15.02.2011 6:33
- ↑
- →
через месяца 3-4 могу в личку сбросить заказ на такого бота? 30К зелени +- устраивает.
-
-
-
- malwarecoder
- 15.02.2011 6:38
- ↑
- →
не, не интересно, сорри. мне всякие троянчики или распределенные ботнеты интересно писать. плюс заказов хватает, плюс свои проекты на саппорте, со стороны давно не беру работу.
-
-
-
- malwarecoder
- 16.02.2011 2:48
- ↑
- →
и что, покеррумы реально могут отследить, что к машине вместо обычного монитора подключен IP-KVM?
-
-
-
- krechet_off
- 15.02.2011 6:36
- ↑
- →
Подскажи плиз а когда мышкой кликами пин набираешь на хтмл странице, то его можно стыбзить?
-
-
-
- malwarecoder
- 15.02.2011 6:45
- ↑
- →
стыбзить можно все. просто кейлоггеры и формграбберы - универсальная вещь и ими воруют инфу терабайтами. а в данном случае скорее всего идет js+https и надо делать специализированное решение.
под это можно просто написать измененный скрипт, который форму еще на один урл подменяет, скрипт можно записать в кеш браузера, к примеру. или вставить сайт во фрейм и потом из основного фрейма подменить данные. или bho под ie сделать. или искать окно и отслеживать координаты мыши, на каждое нажатие брать скрин небольшого участка вокруг курсора. в целом задача несложная. -
-
-
- malwarecoder
- 15.02.2011 6:56
- ↑
- →
временно да. пока под мак не активно пишут. винда приносит прибыль - и ладно. очень много юзеров до сих пор сидят на ХР и на них до сих пор работают очень старые разработки. есть несколько сот (а может уже и тысяч) мак-вирусов, но серьезно вкладываться в новые технологии народ пока не спешит.
но от фишинга, к примеру, мак тоже не спасет. -
-
-
- krechet_off
- 15.02.2011 7:00
- ↑
- →
спасибо. какой оптимальный антивирус посоветуешь для мака шоб не тормозил и ловил хотя бы с опозданием? и что может надежно защитить от фишинга?
-
-
-
- malwarecoder
- 15.02.2011 7:03
- ↑
- →
под мак вообще не в курсе.
против фишинга - не лазить по ссылкам, все свои сайты держать в закладках.
даже если на почту приходит письмо, что во вконтактике пришло сообщение - не кликать по нему, а открывать вконтакт из закладки. -
-
-
- krechet_off
- 15.02.2011 7:09
- ↑
- →
не понял "даже если на почту приходит письмо, что во вконтактике пришло сообщение - не кликать по нему, а открывать вконтакт из закладки."? то есть жмешь на письмо правой кнопкой мыши и выбираешь открыть в отдельной закладке?
-
-
-
- krechet_off
- 15.02.2011 6:54
- ↑
- →
telebank.ru c карточкой сменных пин кодов (на карточке 99 пин кодов которые стираешь и вводишь при каждом входе или операции) можно взломать, войти и совершить операции?
-
-
-
- malwarecoder
- 15.02.2011 6:59
- ↑
- →
естественно. например, можно перехватить перевод денег и указать другие реквизиты. можно имитировать завершение сессии и вынудить юзера ввести лишний код, перевод сделать из текущей сессии.
-
-
-
- krechet_off
- 15.02.2011 7:06
- ↑
- →
мой айфон 4 (прошивка 4.2) пишет иногда при включении "с вашего телефона отправилась смс"? я поймал вирус или для айфона не джейл пока вирусов нет?
-
-
-
- malwarecoder
- 15.02.2011 14:54
- ↑
- →
обычно ставится утилита скрытого удаленного администрирования. есть варианты с допиленным Radmin, есть просто готовые разработки. есть трояны и руткиты, которые по запросу сервера отдают любой файл с локального компа. вообще такая функция считается одной из основных во многих продуктах, т.к. фича нужная.
-
-
-
- malwarecoder
- 15.02.2011 21:22
- ↑
- →
стоит от 100 до 10000 баксов в зависимости от крутости, наворотов, непалевности, эксклюзивности. в нете полно форумов, где такие услуги предлагаются.
мой вам совет - не суйтесь в это. органы таких ньюбов и ловят и делают козлами отпущения. -
-
немного не по теме: отслеживается ли где-то/кем-то централизованно информация, какие сайты посещает пользователь?
зарабатываете ли вы программами, требующими прислать смс/перевести деньги для разблокировки компьютера?
заказывают ли разработчикам вирусы крупные фирмы, например, конкуренты в IT-сфере?
пишут ли вирусы разработчики антивирусов? -
-
- malwarecoder
- 15.02.2011 14:49
- ↑
- →
1) централизовано на уровне государства - нет. но есть системы анализа трафика, совмещенные с рекламой - у гугля и у яндекса, к примеру. все сайты с такой рекламой и сами поисковики эут инфу собирают. в первую очередь для выдачи контекстной рекламы, во вторую для анализа фрода. есть еще счетчики типа liveinternet и системы защиты, там тоже такая стата собирается.
2) да, зарабатываю.
3) мне - нет. но вообще случаи такого шпионажа были много раз, значит или сами пишут, или заказывают.
4) обычно нет. у них и без того работы хватает, плюс требует немного иного мышления. данилов для конференции давным давно писал хитрый вирус, но больще таких случаев не замечено. -
-
-
- malwarecoder
- 15.02.2011 21:19
- ↑
- →
обхитрить любую программу можно, вопрос уровня программиста и того, кто ее снимает, ну и ограничения, которые накладывает контент-провайдер к таким программам. есть готовые сервисы на антивирусных сайтах со списком кодов, можно открыть с телефона и найти код. в прошлом году во время бума таких программ многие мальчики по вызову подняли на этом неплохие (для себя) деньги. хотя для конечного юзера цена отправки смс и цена оплаты за работу компьютерщика была примерно одинакова.
-
-
-
- malwarecoder
- 15.02.2011 15:56
- ↑
- →
1) частично да. но вообще зачем такой изврат, когда можно поставить Seven и включить максимальный уровень в UAC.
2) avp - первый антивирус, который начал делать эвристический анализ. сейчас вокруг этого анализа навернули столько говна, что комп начинает глючить и тормозить хуже, чем с вирусом. вообще в плане технической оснащенности и оперативности avp впереди всех, отделения по всему миру, обновления несколько раз в сутки (в среднем через 5 часов после обнаружения угрозы выходит обновление). но в плане анализа неизвестных угроз он достаточно слаб, видимо идет автоматизированный анализ и достаточно консервативный шаблон поиска вируса во избежание ложных детектов. в целом в работе постоянно делаю обновления против касперского, никаких проблем не возникает. -
-
-
- malwarecoder
- 15.02.2011 18:06
- ↑
- →
всех денег не заработаешь. тырить деньги с банков - это откровенный криминал, который достаточно быстро отслеживается.
-
-
-
- sorcer_london
- 15.02.2011 19:09
- ↑
- →
Сотовые операторы/контент провайдеры заказывают всевозможного вида блокираторы винды и т.д.?
-
-
-
- malwarecoder
- 15.02.2011 19:20
- ↑
- →
они в доле. сотовый операторы знают, что контент на 80% мошенический, но закрывают глаза, т.к. имеют с трафа 50% прибыли, им ничего заказывать и не надо, достаточно разрешить.
контент-провайдеры по каждому случаю знают, что за программа, что делает и как снимается, часто проверяют работу и тексты соглашений. более того, у всех контент-провайдеров требование - наличие секретных комбинаций на клаве или кода для снятия блокиратора, их сообщают бесплатно, если кто-то начинает сильно доставать саппорт. но сами напрямую этим не занимаются, т.к. требует постоянного внимания и существенных ресурсов на сопровождение, плюс у них немного другая квалификация.
провайдеры могут своим постоянным партнерам предложить схему и крышу за счет удержания большего процента с прибыли, такое часто. -
-
Насколько я понял из ваших ответов, непосредственно распространением занимаются другие люди и это свой большой бизнес.
1) Сколько стоит тысяча установок например? (или как это оплачивается?).
2) Можно как-то выбрать целевую аудиторию (игроки в онлайн-покер например, или сеошники) и если да, сколько будет стоить тысяча установок при такой тонкой работе.
3) Где искать таких "продавцов установок"? -
-
- malwarecoder
- 15.02.2011 21:42
- ↑
- →
1. установка зависит от страны, т.к. разная окупаемость. самые дорогие - US+CS - до $200 за 1000 инсталлов. европа 100-150, россия 50-100, UA/BY/KZ 30-50, азия и китай редко дороже 30.
если установки делаются в плане партнерской программы, то их никто не оплачивает, просто каждому партнеру выдается свой ехе, который надо прогружать и он имеет 80-90% от прибыли.
2) в таких случаях покупают ифрейм траф на целевых сайтах и покупают сплоит-связку, делают сами инсталлы. есть варианты с выборкой аудитории, но они дороже, т.к. основная аудитория по порнухе и играм, а бизнес-тематика редкая.
3) на тематических форумах. -
-
1) Подобные партнерки (когда троян уже написан и тебе остается только распространять его) имеют место только среди винлоков? Просто среди винлоков понятно как процент от прибыли считать - деньги за отправленные смс. А если воруется просто приватная инфа? (данные кредиток, пароли там от фейсбуков/почт)
И почему распространитель получает так много (упоминались 80-90%)? Неужели прогрузка сопряжена с такими большими расходами?
2) А целевые сайты уже должны принадлежать распространителям или есть варианты, чтобы можно было заказать и сам сайт, если меня интересует конкретно его аудитория? Понятно что цена будет выше и гарантий никто не даст,но все же? Есть вообще предложение таких услуг? -
-
- malwarecoder
- 15.02.2011 22:12
- ↑
- →
1) много разных схем заработка. винлоки - самый известный в россии, но в мире далеко не саммый массовый. с приватной инфы отчисления не считаются никак, поэтому покупают загрузки.
партнерская схема такая. партнеров много, а главный партнер один и его прибыль за счет массовости превосходит прибыли партнеров в отдельности. он делает ехе и работает с бабками, остальное его не волнует. загрузить ехе на комп юзеру - это востробованная услуга и партнеры выбирают, что грузить, как получить максимальную прибыль с трафика. там тоже свои затраты - или привлекательный сайт с глупыми юзерами, или много сайтов со сплотами. юзеров на сайты надо привести, убедить что-то сделать.
2) сайты принадлежат исполнителям. никто не пишет и не предлагает владельцу бизнес-сайта поставить аудитории трояная и получать с этого прибыль. а предложения от владельцев сайтов (или от ломанных доступов) есть разные. -
-
Расскажите пожалуйста как вы попали в этот бизнес.
1) Давно ли занимаетесь?
2) Первые вирусы писали для себя или сразу на заказ?
3) Помните ли своего первого заказчика? Каким образом вы нашли его (или он вас нашел)? 4) Где и как заводили первые профессиональные знакомства?
5) Насколько сильно в своей работе вы зависите от партнеров? Все знания для того чтобы поддерживать проект вы добываете сами или что-то покупаете, получаете от партнеров? Например дыры в софте, которые можно использовать, крипторы и т.д.? -
-
- malwarecoder
- 15.02.2011 22:21
- ↑
- →
1) больше 10 лет. профессионально - лет 5-6.
2) для себя. под дос не было такого рынка и вирусы не приносили прибыли.
3) знакомый попросил дописать к его коммерческому вирусу модуль.
4) вообще на форумах тематических полно заявок на разработку, писал желающим, паралельно делал свои наработки по интересным мне темам, предлагал паралельно.
5) это не зависимость, это сотрудничество. я пишу софт. партнеры делают сервера, придумывают схемы получения прибыли, нагоняют трафик и прочее, они так же зависят от меня. в зависимости от схемы взаимодействия я или получаю процент от прибыли, или фиксированную плату за разработку и развитие. знания обычно приобретаю сам. иногда дают чужу малвару и просят сделать похожее, если не знаком с технологией - приходится ковырять. крипторы раньше писал, сейчас надоело, неспортивный труд и малоэффективный. на крипторы полно готовых недорогих предложений. дыры в софте не ищу, т.к. сплоитами не занимаюсь, а для классических троянов они не нужны. -
-
Когда вы говорите «можно взломать что угодно», а так же я вижу темы по взлому почты на форумах, где среднее время исполнения заказов менее суток, я просто не понимаю, что происходит.
Какой принцип проникновения к человеку на комп, если он не ходит по подозрительным сайтам, не ставит кряков, не жмет подозрительных ссылок? Он вообще что-то должен сделать «не то»? -
-
- malwarecoder
- 15.02.2011 22:43
- ↑
- →
я не говорил, что можно взломать что угодно. можно под каждую конкретную задачу написать трояна с задаными функциями, он будет достаточно узкоспециализирован. а уж загрузить конкретному человеку на комп трояна - задача сложная или очень сложная, в зависимости от навыков человека.
как ломают почту и проникают на компы в очень сложных случаях даже не интересовался. -
-
-
- malwarecoder
- 15.02.2011 22:55
- ↑
- →
повторяю - я не интересовался, как ломают почту.
можно. а можно вообще кейлоггер не делать в виде процесса. -
-
Вот попало ваше творение в базы антивируса, вам нужно выпустить обновление, которое сделает вирь опять недетектируемым, верно?
1) Имеется ли какой-то механизм обновлений уже загруженных экземпляров вируса?
2) В базе антивируса имеется сигнатура на ваш вирус. Как вообще выглядит эта сигнатура? Это фрагмент ASM кода характерный для вашего вируса? Получается чтобы опять спрятать вирус вам нужно изменить именно этот характерный код, а каким образом вы тогда узнаете какой участок кода составляет сигнатуру? Или я как то не так понимаю процесс вашей борьбы?
3) Образуют ли в дальнейшем машины, зараженные винлоком, ботнет?
4) От чего больше всего вы получаете кайф в вашей работе? -
-
- malwarecoder
- 15.02.2011 23:33
- ↑
- →
1) конечно. например, вирус каждый час стучится на сервер и берет свежую версию себя. есть более сложные схемы. это все и является ботнетом. одиночные вирусы сейчас пости не делают.
2) зависит от антивируса. у одних набор байтиков - шаблон поиска. у других набор действий - эвристический детект. в создании новой копии, которая не детектится ни одним из 20 основных антивирусов и состоит основная работа. это сложный труд и высоко оплачивается. некоторые для этого делают криптор и меняют его.
3) зависит от винлока. кто-то прогружает на него другой софт втихаря (контент-провайдеры это не разрешают), а кому-то пофигу. винлоки сразу прибыль приносят, а с ботнетом еще надо делать лишние телодвижения.
4) от программирования -
-
-
- malwarecoder
- 15.02.2011 23:58
- ↑
- →
1) В том, что я могу применить свои знания в области программирования за хорошие деньги.
2) если бы я знал, какой рынок будет сейчас, то в прошлом мог бы уделить больше внимания другим областям и делать самые востребованные разработки. а в остальном нормально, есть интересная работа и деньги, грех жаловаться.
3) заставить себя делать неинтересные куски кода. за простую работу не люблю браться. -
