Некролог на Web-Money Keeper Classic


Внутри Keeper'а - часть 2


Лучше всего начинать анализ с поиска текстовых строк. Их легко найти в оке "Name Windows", вызываемом комбинацией клавиш <Shift-F4>. Тестовые ASCIIZ-строки начинаются с префикса "a". И, действительно, здесь притаилось немало напуганнойнепуганой дичи:

 

.rdata:1021ECB0 aPci_wmtid     db 'pci_wmtid=',0       ; DATA XREF: sub_100901C0+C45o

.rdata:1021ECBC aPci_pursedest db '&pci_pursedest=',0  ; DATA XREF: sub_100901C0+CCCo

.rdata:1021ECCC aPci_pursesrc  db '&pci_pursesrc=',0   ; DATA XREF: sub_100901C0+D53o

.rdata:1021ECDC aPci_amount    db '&pci_amount=',0     ; DATA XREF: sub_100901C0+DDAo

.rdata:1021ECEC aPci_marker    db '&pci_marker=',0     ; DATA XREF: sub_100901C0+E61o

.rdata:1021ECFC aPci_desc      db '&pci_desc=',0       ; DATA XREF: sub_100901C0+EE8o

.rdata:1021ED08 aPci_datecrt   db '&pci_datecrt=',0    ; DATA XREF: sub_100901C0+F6Fo

.rdata:1021ED18 aPci_modeTest  db '&pci_mode=test',0   ; DATA XREF: sub_100901C0+FFFo

Листинг 2 текстовые строки "pic_xxx", обнаруженные в Keeper'е

Семейство сток, гнездящихся вокруг слова "pci", наводит на мысль, что Keeper, возможно, опрашивает PCI-шину для получения списка подключенных устройств и сканер шины это действительно подтверждает, а в дампе памяти обнаруживаются идентификационные строки всех периферийных устройств.

Поскольку, виртуальные машины и, в частности, VM Ware несут на своем борту довольно специфический набор оборудования и выделяют MAC-адреса из фиксированного пула адресов, становится ясно как система распознает факт наличия виртуальной машины. Она просто сравнивает конфигурацию пользовательского оборудования с конфигурацией виртуальной машины и, если они совпадают, электронный кошелек закрывается без предупреждений. Причем сравнение происходит не на клиентской, а на серверной стороне! То есть, Keeper не просто опрашивает PCI-шину, но еще и передает эти данные в сеть, где они, по всей видимости, заносятся в банк данных, представляющий огромный интерес для спецслужб различных стран.




Начало  Назад  Вперед