malware používající http jako skrytý kanál

HackForum

malware používající http jako skrytý kanál#
Ahoj
Pracuju na projektu který by analyzoval http provoz na síti a potřebuju nějaký vzorek malwaru který zneužívá http aby z infikovaného počítače posílal data či přijímal příkazy. Nevíte kde na netu najít nějaký větší vzorek takového malwaru? Popřípadě pokud víte o nějakém specifickém malwaru tak mi sem napište jméno. Vím o IEwebdooru a myslím, že darkcraft dělal něco podobného, ale hledám globálně rozšířenější infekce.
Děkuju za odpovědí!
(odpovědět)
ask@t | E-mail | ICQ 200-358-16820.6.2012 14:49
re: malware používající http jako skrytý kanál#
Zdar,

jestli chces neco rozsireneho a hlavne jeste aktualniho (chodi toho porad dost, zaklad stejny, jen drobne upravy), tak doporucuju Zbot.

Jsou to uz 3 mesice co jsem delal analyzu, takze si nejsem 100% jisty, jestli pouziva http komunikaci i pro C&C, ale minimalne na "uvod" - stazeni zasifrovaneho konfigu - ano.

Kouknu se ti jeste zitra a kdyz neco najdu, postnu jmena. Ze zkusenosti ale mohu rici, ze vetsinou to jde prez sockety na nejaky preddefinovany port.
(odpovědět)
Playa_ | 213.192.12.*21.6.2012 2:58
re: malware používající http jako skrytý kanál#
Tak jsem nasel jeste jeden, ten pro zmenu pouziva http trafic na upload ukradenych credentials. MS ho detekuje jako "PWS:Win32/Fignotok.A".
(odpovědět)
Playa_ | 94.112.253.*21.6.2012 12:16
re: malware používající http jako skrytý kanál#
Jeste bych ti hodil jeden uzitecny link:

[link]
(odpovědět)
Playa_ | 94.112.253.*25.6.2012 11:45
re: malware používající http jako skrytý kanál#
Díky moc.
(odpovědět)
ask@t | E-mail | ICQ 200-358-16826.6.2012 11:44

Zpět
 
 
 

 
BBCode