Как обнаружить вредоносное ПО в "кардинг-софте"?

[Cloned Boy]

Подозрительные программы, связанные с кардингом, часто содержат трояны, стилеры или RAT (Remote Access Trojans). Вот методы анализа и примеры вредоносов.

1. Анализ через VirusTotal​

VirusTotal (https://www.virustotal.com) — сервис, проверяющий файлы через 70+ антивирусов.

Как использовать:​

1. Загрузите подозрительный файл (.exe, .dll, .zip).
2. Дождитесь отчёта.
   • Если >5 антивирусов (особенно Kaspersky, ESET, Microsoft) отмечают файл как вредоносный — это угроза.
   • Пример:
     

     Антивирус	Результат
     Microsoft	Trojan:Win32/RedLine
     Kaspersky	HEUR:Trojan-Spy.MSIL.Stealer

3. Проверьте поведенческий анализ (Behavior tab) — ищет подозрительные действия:
   • Доступ к %AppData%, \Local\Temp\.
   • Попытки подключения к IP-адресам в России/Украине/Китае.

Пример: Файл ATR_Tool.exe из "Vizey Pack" помечен как Trojan.Malware.

2. Sandbox-анализ​

Песочницы (Sandbox) позволяют запускать файлы в изолированной среде.

Бесплатные инструменты:​

• Any.Run (https://any.run) – показывает действия в реальном времени.
• Hybrid Analysis (https://www.hybrid-analysis.com) – детальный отчёт.
• Cuckoo Sandbox (для продвинутых).

Что искать в отчёте:​

• Сетевые подключения (куда отправляются данные).
• Изменения в реестре (автозагрузка).
• Инъекции в процессы (например, в explorer.exe).

Пример: Троян Azorult создаёт файл %Temp%\~tmp.tmp и крадёт cookies браузеров.

3. Примеры троянов в кардинг-софте​

Название	Тип	Действие
RedLine	Информационный стилер	Крадёт логины, карты, криптокошельки.
Azorult	Троян-стилер	Ворует данные из браузеров, Telegram.
Lokibot	Банковский троян	Перехватывает ввод паролей.
NjRAT	RAT (удалённый доступ)	Даёт контроль над ПК.

Как они попадают в софт?​

• Взломанные версии платных программ (например, JCOP Tools).
• Фейковые "кардинг-паки" (Vizey, Diamond).
• Поддельные ключи (кейгены).

4. Признаки заражённого ПО​

• Файл находится в C:\Temp\ или %AppData%\Local\Temp\.
• Антивирус молчит, но:
  • Появляются странные процессы в Task Manager.
  • Неизвестные соединения в TCPView (Microsoft Sysinternals).
• Программа требует отключить антивирус "для работы".

5. Что делать, если обнаружили вирус?​

1. Отключите интернет (прервёте передачу данных).
2. Просканируйте систему (Malwarebytes, HitmanPro).
3. Проверьте логин-данные:
   • Смените пароли (особенно почты, банков).
   • Включите 2FA.
4. Удалите вредоносный файл (используйте UnHackMe для сложных случаев).

6. Легальные аналоги​

Для анализа EMV/платёжных систем:

• pyApduTool (APDU-команды).
• GlobalPlatformPro (управление чипами).
• Qiling Framework (анализ вредоносов).

Важно: Кардинг-софт в 90% случаев содержит вирусы. Используйте только проверенные инструменты.

Дополнительно: Хотите разбор конкретного отчёта VirusTotal или анализ поведения трояна?