Утечка исходных текстов Carberp

Утечка исходных текстов Carberp — это большой удар по безопасности пользователей

Уже не является секретом тот факт, что полные исходные тексты известного банковского вредоносного ПО Carberp утекли в паблик. Около 5GB исходных текстов оказались в поле зрения фактически любого желающего. Архив включает в себя:

Исходный текст буткита, km драйверов и всего что работает в km.
Билдер дропперов.
Плагины.
Веб-инжекты.
LPE эксплойты.
Огромное количество другой полной и необходимой информации, чтобы начать свой собственный проект по разработке вредоносного кода.


Как и в случае с Zeus, история началась с того, что архив с текстами был выставлен на продажу на нескольких подпольных форумах. Ниже представлен пост с объявлением с одного из форумов. Первоначально информация о том, что исходные тексты Carberp были выставлены на продажу была опубликована Trusteer 18-го июня, т. е. около недели назад. При этом указывалось, что цена архива составляет $50,000. Но позже на одном из форумов появилась информация, что тексты продаются по очень низкой цене, всего лишь $5,000. Архив включает в себя тексты вредоносного кода и купленные сторонние наработки с 2008 г.


Нам удалось получить архив с исходными текстами Carberp и мы можем констатировать тот факт, что утечка исходных текстов Carberp является самой крупной вообще из тех, что были раньше среди вредоносных программ. При этом в этот показатель входит как количество возможностей самого вредоносного кода, которые описываются включенными текстами, их степенью детальности, а также деструктивности, которую могут нанести клоны, основанные на этих исходных текстах.






Один из модераторов kernelmode.info, EP_X0FF собрал статистику по семействам вредоносных программ, функционал которых описан утекшими текстами. Этот список действительно впечатляет(!): Ursnif, Rovnix, Alureon, Phdet, Zeus, Vundo, SpyEye. Все эти семейства вредоносных программ очень хорошо известны ресерчерам и получили большое распространение.


Поясним, что Carberp изначально не имел своей bootkit-составляющей до 2011 г., когда разработчиками был куплен фреймворк Rovnix (одно из первых семейств буткитов, которое использовало метод заражения VBR, что позволяло загружать свой драйвер на x64 платформах в обход ограничений ОС). Код Rovnix и история включения его исходных текстов в Carberp были детально описаны нашим коллегой Александром Матросовым здесь. . Мы также составляли полный отчет об эволюции Carberp, в котором можно было отследить этапы развития вредоносного кода.

Многие издания и АВ-вендоры напишут или уже написали об инциденте, связанном с утечкой исходных текстов Carberp, так как это действительно громкий инцидент, который может повлечь за собой неприятные последствия. Имеется в виду факт появления клонов как самого банковского вредоносного ПО Carberp, буткит-платформы Rovnix, так и другого вредоносного кода, который может быть создан по оказавшимся в паблике исходным текстам вредоносного кода.

25/06/2013
http://habrahabr.ru/company/eset/blog/184576/​

 

Кому лень искать линк _https://mega.co.nz/#!0YsXWBRD!CMqd9nrm1d0XABKlifI9vmxprpQ6RnfsdhBHeKrDXao

Update:
пас на архив первым твитом
https://twitter.com/Ivanlef0u/status/349315255312195584

Code:

Kj1#w2*LadiOQpw3oi029)K   Oa(28)uspeh

 

приватные сплоиты там есть?

 

Там полно разных прикольных фич обходов и прочего

 

гуд, знач качну
может что пригодится

 

а нормально файлом никто не может поделиться?

 

у меня у одного пасс не подходит ??

 

У меня вообще белая страница открывается.

 

А это потому, что ты просто скопировал ссылку и вставил в адресною строку, а там в линке пробел стоит, перед DXao (я его стразу заметил ).

зы. на счет паса не знаю, не качал архив (не интересен).

зы.зы. Кстати, а вы пробовали пробелы убрать в пассе?

 

у меня всё норм. открывает. но вот пасс не подходит (((
2Melfis дай плз пасс

 

Настоящий пароль.

 

base64
S2oxI3cyKkxhZGlPUXB3M29pMDI5KUsgICBPYSgyOCl1c3BlaA==
так лучше.
Блеать, даже текстохостинги три пробела сокращают до одного.

 

Кто нибудь может файл на нормальный хостинг перезалить, или всем жалко?

 

Я в курсе, убирал пробел и все один хрен белая страница, хз в разных броузерах пробовал.

+1, реально.

 

Ну так сразу уж скажи какой ты считаешь нормальным...
Перезалью

 

пасс подходит?

будем копаться ))

 

sendspace.com
narod.ru
да даже депозит нормальный, хоть и скорость урезает, но никогда не подводил по доступности.

 

Да. Пасс подходит.
Из поста №2 от Melfis-а.

 

thanks . так кто зальет) для рашки

 

vi che bolnie vam vilozhili source a vi skachat ne mozhete chto vi tam cmotret sobralis esli file s neta skachat ne mozhete
pass podhodit iz vtorogo posta