|
|
SpyEye ou quand des hackers aident à lutter contre les trojans
Guillaume Champeau -
publié le Mardi 09 Novembre 2010 à 12h11 -
posté dans High-Tech
Une équipe de hackers (ou plutôt "crackers") a décidé de s'attaquer à la protection d'un trojan facilitant le détournement des comptes bancaires, pour aider les éditeurs d'antivirus à le détecter et le supprimer.
C'est l'histoire classique des "white hats" contre les "black hats", qui oppose depuis toujours les hackers qui cherchent à faire le bien à ceux qui ne recherchent que leurs propres profits, le plus souvent au mépris des lois et de leurs victimes. Chez les cybercriminels les plus crapuleux, un outil est particulièrement à la mode cette année. Il s'agit de SpyEye, un trojan réalisé et commercialisé par un certain "Harderman", qui a détrôné ZeuS banking Trojan, conçu par un hacker russe (les deux auraient fusionné récemment). Entre autres fonctionnalités, l'outil qui est invisible pour la victime et pour la plupart des antivirus permet aux hackers de capturer à distance les identifiants et informations bancaires, pour automatiser le détournement de fonds. Pour rendre son fonctionnement opaque et donc difficile à combattre et à détecter, le créateur de SpyEye a protégé son logiciel par VMProtect, qui exécute le code dans une machine virtuelle et camoufle son architecture. Mais pour aider les éditeurs d'antivirus et d'anti-malwares, un groupe de hackers a décidé de s'attaquer au projet et de relever le défi. La team RED (Reverse Engineer Dream) a ainsi publié samedi une version crackée de SpyEye, qui permet enfin son analyse. "Désormais le code n'est plus protégé. J'espère que cette version vous apprendra quelque chose sur la manière dont ça fonctionne. Cette release est dédiée à tous les experts du reverse engineering et aux éditeurs d'antivirus, et à toutes les personnes qui font de leur mieux contre les malwares", explique le cracker Xylitol, dans le fichier NFO qui accompagne le logiciel. à lire aussi
Prix indiqués avec livraison
20
Commentaires à propos de «SpyEye ou quand des hackers aident à lutter contre les trojans»
Répondre
chupacabras
le 09/11/2010 à 13:45
mouais ... je me demande si ça permettra de mieux lutter contre ce trojan ou alors ça permettra à d'autres VXers de créer des forks
 j'ai pas bien compris le message précédent
ma question est : fair du reverse engineer c'est long et difficile. Comment son rémunérés les white hats comme Xylitol ? Ou alors ils ont tous une part de black hat en eux ? Si tous les antivirus parviennent à détecter l'original grâce aux travail des white hats, ça devrait aussi marcher pour les forks, non ?
bien sur, comme ca les blackhats suivront de tres pret pour analyser les comportements et donc de modifier leurs codes les rendant encore plus indetectables. C'est dingue comme les whitehats ne refelechissent pas plus que ca, stupide ou cupide
 matubo, le 09/11/2010 - 13:52 j'ai pas bien compris le message précédent ma question est : fair du reverse engineer c'est long et difficile. Comment son rémunérés les white hats comme Xylitol ? Ou alors ils ont tous une part de black hat en eux ? on se demande si l'étude du virus ne pourrait servir à d'autre fin que son éradication (la réponse est normande, ptet ben qu'oui, ptet ben qu'non). et pour répondre à ta question, comment dire .... t'a pas de passion dans la vie ? je sais pas, tu fais du sport ? si oui, ça ne t'ennuie pas de ne pas être payé quant tu pratiques ton sport, ta passion ?  (ça marche aussi avec la cuisine, le bricolage, la mécanique, le sesque ou tout autre, c dingue que les gens pensent qu'il faut obligatoirement être payer pour pratiquer son passe temps favori) ted74, le 09/11/2010 - 13:54 Si tous les antivirus parviennent à détecter l'original grâce aux travail des white hats, ça devrait aussi marcher pour les forks, non ?Dans tous les cas c'est un troyen, il ne s'attrape pas "comme ca", mais plutot quand un user télécharge sur le p2p et exécute "britney_nude.exe" ... Les anglais disent "serves you right".
 lol, bonne chance avec les ventes maintenant que leur vmprotect a été cassé par la 'webscene'
le trojan zeus banker et protégé par la même protection il me semble il n'y a rien de mieux que vmprotect (avis personnel) chupacabras, le 09/11/2010 - 14:10
ben non justement, il est possible de changer ou d'obscurcir un peu le code existant pour créer une version qui ne peut être détectée alors que l'originale le seraitVMprotect comme tous les autres programme de protection ou de cryptage charge le programme en mémoire, mais une fois qu'il et exécuté il n'y a plus rien qui le protège le seul truc qu'il a réussi a faire c'est cassé VMprotect et les obsfurcations Chose qui va surement intéressé les éditeurs d'anti virus (ou pas) a devenir plus performant. l'analyse des virus chargé en mémoire c'est quelque chose qui se développe de plus en plus personnellement j'utilise Microsoft Security Essentials j'ai jamais eu de souci. chaque jours il y a des virus indetecté de trouvé et recensé, c'est un combat sans fin de toute façon en tous cas cassé VMProtect.. c'est du boulot, chapeau bas. Dans tous les cas c'est un troyen, il ne s'attrape pas "comme ca", mais plutot quand un user télécharge sur le p2p et exécute "britney_nude.exe" ... Les anglais disent "serves you right".
Tu pourrai être surpris de ce qui se trouve dans tes fichiers temporaires internet ainsi que des méthodes utilisés pour son activation  _bla_, le 09/11/2010 - 14:10
C'est pour ca que j'ai dit : le reverse engineering, ca prend du temps et des compétences. Je fais du sport, mais ca n'empiète pas sur les heures de boulot, etc. Quand on a suffisamment de talent et de temps pour craquer SpyEye, on est en droit d'être rémunéré pour son travail non ? Ou alors à l'ère anti-hadopi, tout doit être absolument gratuit ? Je sais que la communauté tient une place importante dans la vie des hackers, ainsi que l'envie d'impressionner le public (un article dans numerama, entre autres, c'est pas mal !) ou encore de relever le défi technique. Mais sans argent, ca ne nourrit pas il me semble ? _bla_, le 09/11/2010 - 14:10 et pour répondre à ta question, comment dire .... t'a pas de passion dans la vie ? je sais pas, tu fais du sport ? si oui, ça ne t'ennuie pas de ne pas être payé quant tu pratiques ton sport, ta passion ? (ça marche aussi avec la cuisine, le bricolage, la mécanique, le sesque ou tout autre, c dingue que les gens pensent qu'il faut obligatoirement être payer pour pratiquer son passe temps favori) C'est pour ca que j'ai dit : le reverse engineering, ca prend du temps et des compétences. Je fais du sport, mais ca n'empiète pas sur les heures de boulot, etc. Quand on a suffisamment de talent et de temps pour craquer SpyEye, on est en droit d'être rémunéré pour son travail non ? Ou alors à l'ère anti-hadopi, tout doit être absolument gratuit ? Je sais que la communauté tient une place importante dans la vie des hackers, ainsi que l'envie d'impressionner le public (un article dans numerama, entre autres, c'est pas mal !) ou encore de relever le défi technique. Mais sans argent, ca ne nourrit pas il me semble ? [désolé pour le double post, j'ai fail ma première citation :x] (waw j'ai fait une injection de code phpBB qui a flingué la mise en page du commentaire ! faut qu'un white hat fournisse un correctif !)
Une petite rectification et par la même un petit éclaircissement :
Slavik, le dev de Zeus, aurait passé la main à Harderman, si l'on se fit à ce post:  Traduction à l'arrache : Bonne journée!
Je vous offrira le service à compter d'aujourd'hui et de Zeus à partir d'ici. J'ai reçu les codes source gratuitement afin que les clients qui ont acheté le logiciel ne sont pas laissés sans support technique. Slavik ne supporte pas le produit plus, il a enlevé le code source de son [ordinateur], il ne vend pas de [lui], et n'a aucune relation avec elle. Il n'est pas non plus procéder à des affaires sur Internet et dans quelques jours son contact [information] ne sera pas actif. Il m'a demandé de transmettre ce qu'il a été heureux de travailler avec tout le monde. Si vous avez des questions restées en suspens [il ya] une demande pour entrer en contact avec lui dès que possible. Tous les clients qui ont acheté le logiciel à partir Slavik seront desservies à partir de moi dans les mêmes conditions que précédemment. [I] demande que [vous] viennent directement à moi en ce qui concerne toutes les questions. Merci à tous pour [votre] attention! Ce qui est sur c'est que Slavik a complètement disparu de la toile et si l'on se fit également à certain forum, Harderman prudent, est entrain de faire le ménage sur ceux ci: tous les posts se référant à SpyEye sont systématiquement effacés à sa demande.  Pour de qui est de : Il s'agit de SpyEye, un trojan réalisé et commercialisé par un certain "Harderman", qui a détrôné ZeuS banking Trojan
On est loin du compte et pour s'en convaincre allons jeter un œil sur les tracker de Roman Hüssy  https://spyeyetracke...se.ch/index.php  https://zeustracker.abuse.ch/ D'autant plus que les clients de Zeus n'ont aucune raison de migrer vers une autre version qui ne leur apportera, somme toute, que peut ou pas d'amélioration en terme de retombées financières. bien sur, comme ca les blackhats suivront de tres pret pour analyser les comportements et donc de modifier leurs codes les rendant encore plus indetectables. C'est dingue comme les whitehats ne refelechissent pas plus que ca, stupide ou cupide t'as raison, il vaut mieux ne rien faire du tout! c'est toi qui est stupide! ben non justement, il est possible de changer ou d'obscurcir un peu le code existant pour créer une version qui ne peut être détectée alors que l'originale le serait heureusement que c'est un peu plus compliqué que ça.... tu dois pas connaitre grand chose à la programmation toi! dreamSky, le 09/11/2010 - 14:57 VMprotect comme tous les autres programme de protection ou de cryptage charge le programme en mémoire, mais une fois qu'il et exécuté il n'y a plus rien qui le protège le seul truc qu'il a réussi a faire c'est cassé VMprotect et les obsfurcations L'art de la chose (ce qu'a fait Xylitol) est de comprendre quels sont les opcode du langage de la VM pour produire du code x86. Ceci représente une MONTAGNE de boulot pour arriver à obtenir du code clair. Mais il ne faut pas se leurrer. Ce qu'a fait Xylitol ne se fait pas en deux jours. Il devait déjà y travailler dessus depuis plusieurs mois (années) déjà. Pour expliquer sa motivation et pour répondre aux personnes qui n'arrivent pas à comprendre que l'ont puisse faire ça sans se voir rémunérer. Comme l'a dit _bla_ et son parrallèle avec le sport. Le reverse est une passion. On peut y passer des heures sans forcément penser au fric. J'ajouterai même que Xylitol est une personne comme vous et moi. Ces enfoirés qui créé ces programme de vol banquaire, personne ne les portent dans leur coeur. Donc, d'une part Xylitol réalise un énorme challenge en cassant la VM de VMPRotect mais en plus, il le fait au détriment d'enflures. Ce qui est plutot dérangeant dans l'article, c'est qu'il laisse supposer que les éditeurs d'anti-virus ne soient pas capable de reverser VMProtect. Les éditeurs emploient des reversers et ces gens là ne seraient pas en mesure de reverser la VM de VMProtect ? J'ai beaucoup de mal à le croire. croustibat, le 09/11/2010 - 14:43 Dans tous les cas c'est un troyen, il ne s'attrape pas "comme ca", mais plutot quand un user télécharge sur le p2p et exécute "britney_nude.exe" ... Les anglais disent "serves you right".non, j'ai déja chopé un truc rien avec une simple url web et firefox, ça exploitait une faille dans java... se souvenir de la faille DCOM aussi... Hello, pour faire short, sans l'aide d'un ami sur VMProtect jamais j'aurais pu venir a bout de l'unpacking, (cf le nfo)
comme dit plus haut c'est assez costaud, une fois unpack ya les API's a fixé et ensuite les problèmes de stack et d'access violation arrive. @matubo: si tu veut savoir, irl je travail dans le bâtiment, rien avoir avec l'informatique, concernant spyeye je ne me fais pas payé et je ne veut pas l'être. zorro3364, le 09/11/2010 - 18:46 bien sur, comme ca les blackhats suivront de tres pret pour analyser les comportements et donc de modifier leurs codes les rendant encore plus indetectables. C'est dingue comme les whitehats ne refelechissent pas plus que ca, stupide ou cupide t'as raison, il vaut mieux ne rien faire du tout! c'est toi qui est stupide! ben non justement, il est possible de changer ou d'obscurcir un peu le code existant pour créer une version qui ne peut être détectée alors que l'originale le serait heureusement que c'est un peu plus compliqué que ça.... tu dois pas connaitre grand chose à la programmation toi! |
A LA UNE
LES + COMMENTÉS
 9 offres à partir de 45 €
Télécharger
windows 7 gratuit,
voissa anonymo,
antivirus avast,
redtube video downloader,
restauration msn messenger,
passion,
emule island,
adobe flash player,
Accès rapide :
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
|
![eMule 0.46c [LSD]](http://images.numerama.com/img/s/t6554-35-37-emule-046c-lsd.jpg)
