Няколко правителства ме следят!
- Автор tuger
- Начална дата
¦•••SHERIFA•••¦
Well-Known Member
От: Няколко правителства ме следят!
Код:
rule RCS_Scout
{
meta:
detection = "Hacking Team RCS Scout"
strings:
$filter1 = "$engine5"
$filter2 = "$start4"
$filter3 = "$upd2"
$filter4 = "$lookma6"
$engine1 = /(E)ngine started/ wide ascii
$engine2 = /(R)unning in background/ wide ascii
$engine3 = /(L)ocking doors/ wide ascii
$engine4 = /(R)otors engaged/ wide ascii
$engine5 = /(I)\'m going to start it/ wide ascii
$start1 = /Starting upgrade\!/ wide ascii
$start2 = /(I)\'m going to start the program/ wide ascii
$start3 = /(i)s it ok\?/ wide ascii
$start4 = /(C)lick to start the program/ wide ascii
$upd1 = /(U)pdJob/ wide ascii
$upd2 = /(U)pdTimer/ wide ascii
$lookma1 = /(O)wning PCI bus/ wide
$lookma2 = /(F)ormatting bios/ wide
$lookma3 = /(P)lease insert a disk in drive A:/ wide
$lookma4 = /(U)pdating CPU microcode/ wide
$lookma5 = /(N)ot sure what's happening/ wide
$lookma6 = /(L)ook ma, no thread id\! \\\\o\// wide
condition:
(all of ($engine*) or all of ($start*) or all of ($upd*) or 4 of ($lookma*)) and not any of ($filter*)
}
rule RCS_Backdoor
{
meta:
detection = "Hacking Team RCS Backdoor"
strings:
$filter1 = "$debug3"
$filter2 = "$log2"
$filter3 = "error2"
$debug1 = /\- (C)hecking components/ wide ascii
$debug2 = /\- (A)ctivating hiding system/ wide ascii
$debug3 = /(f)ully operational/ wide ascii
$log1 = /\- Browser activity \(FF\)/ wide ascii
$log2 = /\- Browser activity \(IE\)/ wide ascii
// Cause false positives.
//$log3 = /\- About to call init routine at %p/ wide ascii
//$log4 = /\- Calling init routine at %p/ wide ascii
$error1 = /\[Unable to deploy\]/ wide ascii
$error2 = /\[The system is already monitored\]/ wide ascii
condition:
(2 of ($debug*) or 2 of ($log*) or all of ($error*)) and not any of ($filter*)
}
rule RCS_Backdoor_New
{
meta:
detection = "Hacking Team RCS Backdoor"
strings:
$filter1 = "$phone1"
$filter2 = "$mod1"
$filter3 = "$conv1"
$filter4 = "$system1"
$wallet1 = /(%)APPDATA%\\Feathercoin\\wallet\.dat/ wide ascii
$wallet1 = /(%)APPDATA%\\Namecoin\\wallet\.dat/ wide ascii
$wallet1 = /(%)APPDATA%\\Litecoin\\wallet\.dat/ wide ascii
$wallet1 = /(%)APPDATA%\\Bitcoin\\wallet\.dat/ wide ascii
$mod1 = /\[Crisis\]\: Network activity restarted/ wide ascii
$mod2 = /\[Crisis\]\: Network activity inhibited/ wide ascii
$mod3 = /\[Core Module\]\: Started/ wide ascii
$mod4 = /\[Inf. Module\]\: Spread to VMWare/ wide ascii
$mod5 = /\[Inf. Module\]\: Spread to USB Drive/ wide ascii
$conv1 = /(E)nd of conversation - Start of conversation/ wide ascii
$conv2 = /(F)ine conversazione - Inizio conversazione/ wide ascii
$system1 = /(P)rocessor\: %d x %s/ wide ascii
$system2 = /(M)emory\: / wide ascii
$system3 = /(D)isk\: / wide ascii
$system4 = /(B)attery\: %s%d%%/ wide ascii
$system5 = /(O)S Version\: %s%s%s%s%s/ wide ascii
$system6 = /(R)egistered to\: %s%s%s%s \{%s\}/ wide ascii
$system7 = /(L)ocale settings\: %s_%s (UTC %\+\.2d\:%\.2d)/ wide ascii
$system8 = /(T)ime delta\: %s/ wide ascii
$system9 = /(U)ser\: %s%s%s%s%s/ wide ascii
condition:
(any of ($wallet*) and 3 of ($mod*) and all of ($conv*) and 5 of ($system*))
and not any of ($filter*)
}
Код:
rule FinSpy
{
meta:
detection = "FinFisher FinSpy"
strings:
$filter1 = "$password14"
$filter2 = "$screenrec7"
$filter3 = "$micrec"
$filter4 = "$skyperec3"
$filter5 = "$mouserec2"
$filter6 = "$driver"
$filter7 = "$janedow2"
$filter8 = "$bootkit2"
$password1 = /\/scomma kbd101\.sys/ wide ascii
$password2 = /(N)AME,EMAIL CLIENT,EMAIL ADDRESS,SERVER NAME,SERVER TYPE,USERNAME,PASSWORD,PROFILE/ wide ascii
$password3 = /\/scomma excel2010\.part/ wide ascii
$password4 = /(A)PPLICATION,PROTOCOL,USERNAME,PASSWORD/ wide ascii
$password5 = /\/stab MSVCR32\.manifest/ wide ascii
$password6 = /\/scomma MSN2010\.dll/ wide ascii
$password7 = /\/scomma Firefox\.base/ wide ascii
$password8 = /(I)NDEX,URL,USERNAME,PASSWORD,USERNAME FIELD,PASSWORD FIELD,FILE,HTTP/ wide ascii
$password9 = /\/scomma IE7setup\.sys/ wide ascii
$password10 = /(O)RIGIN URL,ACTION URL,USERNAME FIELD,PASSWORD FIELD,USERNAME,PASSWORD,TIMESTAMP/ wide ascii
$password11 = /\/scomma office2007\.cab/ wide ascii
$password12 = /(U)RL,PASSWORD TYPE,USERNAME,PASSWORD,USERNAME FIELD,PASSWORD FIELD/ wide ascii
$password13 = /\/scomma outlook2007\.dll/ wide ascii
$password14 = /(F)ILENAME,ENCRYPTION,VERSION,CRC,PASSWORD 1,PASSWORD 2,PASSWORD 3,PATH,SIZE,LAST MODIFICATION DATE,ERROR/ wide ascii
$screenrec1 = /(s)111o00000000\.dat/ wide ascii
$screenrec2 = /(t)111o00000000\.dat/ wide ascii
$screenrec3 = /(f)113o00000000\.dat/ wide ascii
$screenrec4 = /(w)114o00000000\.dat/ wide ascii
$screenrec5 = /(u)112Q00000000\.dat/ wide ascii
$screenrec6 = /(v)112Q00000000\.dat/ wide ascii
$screenrec7 = /(v)112O00000000\.dat/ wide ascii
//$keylogger1 = /\<%s UTC %s\|%d\|%s\>/ wide ascii
//$keylogger2 = /1201[0-9A-F]{8}\.dat/ wide ascii
$micrec = /2101[0-9A-F]{8}\.dat/ wide ascii
$skyperec1 = /\[%19s\] %25s\: %s/ wide ascii
$skyperec2 = /Global\\\{A48F1A32\-A340\-11D0\-BC6B\-00A0C903%\.04X\}/ wide
//$skyperec3 = /(1411|1421|1431|1451)[0-9A-F]{8}\.dat/ wide ascii
//$mouserec1 = /(m)sc183Q000\.dat/ wide ascii
//$mouserec2 = /2201[0-9A-F]{8}\.dat/ wide ascii
$driver = /\\\\\\\\\.\\\\driverw/ wide ascii
$janedow1 = /(J)ane Dow\'s x32 machine/ wide ascii
$janedow2 = /(J)ane Dow\'s x64 machine/ wide ascii
//$versions1 = /(f)inspyv2/ nocase
//$versions2 = /(f)inspyv4/ nocase
$bootkit1 = /(b)ootkit_x32driver/
$bootkit2 = /(b)ootkit_x64driver/
$typo1 = /(S)creenShort Recording/ wide
$mssounddx = /(S)ystem\\CurrentControlSet\\Services\\mssounddx/ wide
condition:
(8 of ($password*) or any of ($screenrec*) or $micrec or any of ($skyperec*) or $driver or any of ($janedow*) or any of ($bootkit*) or $typo1 or $mssounddx) and not any of ($filter*)
}
Green Bars
Well-Known Member
От: Няколко правителства ме следят!
Аз се проверих, чист съм
Аз се проверих, чист съм
Zdravko.Kapanov
Active Member
От: Няколко правителства ме следят!
Аallahu akbar :shock:
Аallahu akbar :shock:
От: Няколко правителства ме следят!
Теорията на конспирацията взима все повече и повече жертви
Теорията на конспирацията взима все повече и повече жертви
pa_lta
Well-Known Member
От: Няколко правителства ме следят!
Виж като почти всеки път се еб@ваш, веднъж (даже 2 пъти :wink да пишеш нещо сериозно и никой не те отразява! :wink:
Сваляш програмата - спираш нета, затваряш браузърите и чат програмите и стартираш exe-то като админ, чакаш малко - воаля.:beer:
Виж като почти всеки път се еб@ваш, веднъж (даже 2 пъти :wink
да пишеш нещо сериозно и никой не те отразява! :wink:Сваляш програмата - спираш нета, затваряш браузърите и чат програмите и стартираш exe-то като админ, чакаш малко - воаля.:beer:
Zdravko.Kapanov
Active Member
bobi98
Active Member
От: Няколко правителства ме следят!
Да, постоянно ме преследват идиоти и нема спасение
Да, постоянно ме преследват идиоти и нема спасение
i.alex
Member
От: Няколко правителства ме следят!
И какво да ти подслушват ,някакъв хакер ли си или точиш банкови сметки ,нещо опасно за нацията ли си намислил . Това са глупости с тия следения ,единствено доставчиците на интернет ти записват чрез dns кои сайтове посещаваш ,че то ако са заразени няколко стотици милиона компа и от всеки бълва данни всеки момент и всичко се записва колко служителя им трябват да обработват даннните ,нереално е и ме съмнява да си толкова фатално заразен и следен . Ей това е най сигурния начин да провериш почистиш все пак - http://usa.kaspersky.com/downloads/TDSSKiller
И какво да ти подслушват ,някакъв хакер ли си или точиш банкови сметки ,нещо опасно за нацията ли си намислил . Това са глупости с тия следения ,единствено доставчиците на интернет ти записват чрез dns кои сайтове посещаваш ,че то ако са заразени няколко стотици милиона компа и от всеки бълва данни всеки момент и всичко се записва колко служителя им трябват да обработват даннните ,нереално е и ме съмнява да си толкова фатално заразен и следен . Ей това е най сигурния начин да провериш почистиш все пак - http://usa.kaspersky.com/downloads/TDSSKiller
Последно редактирано: