Автор Тема: Страшилка про ОСМП  (Прочитано 1971 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 70816
  • Пол: Мужской
  • Киевстар шайка мошенников
    • Награды
Страшилка про ОСМП
« : 06, Декабрь 2011, Вторник, 15:11:41 pm »
Прислали сегодня ссылочку - http://webcache.googleusercontent.com/search?q=cache:0RgowY-zy20J:forum.xakepok.org/showthread.php%3Ft%3D4484+&cd=3&hl=en&ct=clnk

ОСМП-Grabber – приложение, предназначенное для сбора реквизитов(Номер терминала, имя пользователя, пароль) учетной записи в платежной системе ОСМП

Принципы работы: При запуске, приложение проверяет, установлена ли в системе программа "ОСМП-Терминал". Поиск идет по всем дискам системы кроме A и B, по
маске 'X:\Program Files\OSMP Dealer\', где X - буква диска. Приложение работает со всеми версиями программы "ОСМП-Терминал" до версии 4.07 включительно. В
случае если данная программа не установлена, приложение закрывается и самоудаляется(используется метод с BAT-файлом). Если нужная программа
обнаружена, то приложение производит установку своего тела в систему. Исходный файл приложения удаляется. В случае, если в момент запуска приложения
программа "ОСМП-Терминал" была запущена, то она однократно закрывается с целью установки в систему приложения. Если ранее в систему уже было установлено
приложение ОСМП-Grabber, то его исполняемая часть обновляется. При следующем запуске программы "ОСМП-Терминал" происходит получение введенных в окно
авторизации программы реквизитов доступа в систему (номер терминала, имя пользователя, пароль). Приложение пытается получить данные для авторизации в течение
3-х минут с интервалом в 1 минуту после запуска программы "ОСМП-Терминал". Если в течении этого времени пользователь не ввел данные для авторизации или
заполнил не все реквизиты авторизации - приложение закрывается до следующего запуска программы "ОСМП-Терминал". Далее, приложение отправляет на специальный
гейт полученные таким образом данные, в виде файла "IP-адрес пользователя_Номер терминала_ID процесса.txt", содержащего следующую информацию:

Серийный номер;
Версия операционной системы пользователя (ОС);
Текущее время;

Номер терминала;
Имя пользователя;
Пароль.

Отправка данных идет от имени оригинального приложения "ОСМП-Терминал". На хосте полученный файл отчета сохраняется в папке «reports» под именем
"IP-адрес пользователя_Номер терминала_ID Процесса.txt".

Некоторые характеристики приложения: Размер приложения ~ 50 Кб (при упаковке AsPack v.2.12). Размер распакованного приложения ~90 Кб. Язык написания -
Delphi с использованием WinAPI. Приложение не запускается под виртуальными машинами "WMWare" и "MS Virtual PC", имеет встроенное простейшее детектирование
работы в режиме отладчика. Приложение не делает обращений к реестру, не извлекает из себя различных библиотек и не создает сетевой активности кроме как
передача файла отчета на гейт. Размер отчета обычно не более 500 байт. Не модифицирует системные файлы и не добавляет себя в автозагрузку. Адрес хоста с
гейтом хранится в исполняемом файле и не виден в HEX-редакторах. Гейт, располагающийся на удаленном хосте, защищен от возможности загрузки через него на
хост PHP-скриптов.

Приложение использовалось в практических целях с октября 2007 года (о чем свидетельствует тот факт, что отдельные старые экземпляры приложения детектируются
Антивирусом Лаборатории Касперского как Trojan-PSW.Win32.Osmer.a(b,c,d,e…)) и показало свою неплохую эффективность благодаря тому, что доступ к платежной
системе ОСМП посредством программы "ОСМП-Терминал" встречается значительно чаще (точки приема платежей, салоны сотовой связи и т.д.), нежели web-доступ,
который, в настоящее время, является по сути единственным источником получения учетных записей к данной платежной системе. К тому же актуальность продукта
увеличивается в связи с введением 20 марта в платежной системе ОСМП авторизации при помощи сертификатов и запретом приема платежей всеми персонами кроме
персон с правами "Продавец", "Автомат" и "Кассир" которые остаются пока несертифицированными и имеют право на проведение платежей.

Продукт практическим способом тестировался под следующими операционными системами:

Microsoft Windows Vista Home Premium;
Microsoft Windows XP Professional SP2;

В целом корректная работа приложения гарантируется под операционными системами: Microsoft Windows 2000/XP/2003/Vista.

Приложение написано исключительно в образовательных целях. Всю ответственность за использование данной программы в целях противоречащих законодательству РФ и
других государств целиком и полностью несете Вы.

После компилирования билда с исходников для уменьшения размера билда и его оптимизации необходимо выполнить следующие действия:

1)Какой-либо программой по редактированию ресурсов PE-EXE файлов(Resourse Hacker v.3.4.0.79, PE Explorer v.1.99 и др.) удалить из исполняемого файла билда
ненужные ресурсы - разделы String Table и RCData. После удаления сохранить измененный EXE;
2)При помощи утилиты PE Explorer v.1.99 или аналогичной по функционалу удалить релоки из исполняемого файла(в PE Explorer v.1.99 меню Tools->Remove Relocations).
Сохранить измененный EXE файл;
3) Упаковать по выбору исполняемый файл билда каким-либо протектором/пакером. Для примера при упаковке билда при помощи AsPack v.2.12 размер выходного файла
становится равным 50.5 Кб).
4) Полученный после упаковки файл можно использовать по назначению.

----------
4.04.2008
Пополняя Киевстар, ты пополняешь российский бюджет!


Теги: