"Сладкая Булочка", или "Ой, а что с моим компьютером?"

ЛАМЕРАМ ПОСВЯЩАЕТСЯ

KOT, http://www.russkie.com/

Данная информация является лишь попыткой донести до читателя основы и не претендует на то, чтобы быть руководством к действию.

Если у вас есть вопросы, буду рад связаться с вами по ICQ : 208745

Немного из личного опыта. Летом того года меня заинтересовала информация из журнала 2600 о проведенной, если не ошибаюсь, в Калифорнии конференции хакеров, а частности о представленной там "Культом Мертвой Коровы" (Cult of the Dead Cow Communications) клиент-сервер апликации Back Orifice, или так называемой BO.

Найдя файл и инсталлировав у себя на одном из тест-серверов, а также изменив пассворд доступа, я был приятно удивлен способностями этой ничего не "весящей" (122 kb) серверной части.

Интересно, подумалось мне, а есть ли что нибудь еще? И занялся поисками. Поиски мои то заходили в тупик, то давали великолепные результаты и в конце концов я бы оставил их за отсутствием времени, если бы не мой доступ на раутеры своей компании и ее клиентов. Что же я там нашел: то, что BO и NetBus становяться очень популярными в среде "пользователей интернета" (студентов, псевдохакоров, бездельников сети и всяческого около-"криминального" элемента, не уничтоженного как класс в период Великой Социалистической Революции).

Попытки сканов моего LAN на предмет выявления зараженного BO или NetBus-ом (you name it) компьютера начали уже просто мозолить глаза и генерировать отдельные сотни килобайт лога.

К октябрю-ноябрю того года, имея доступ к компьютерам численностью более 4.000, я решил просканить все их конкретнее на предмет известных мне троянов (к тому времени обладал инфо о 34 их видах, плюс порядка 20 разновидностей). Результаты скана порадовали: 5 процентов пользователей были заражены. Учитывая возможности троянов, я решил предупредить своих знакомых и админов сетей клиентов, собрав некоторую информацию и опубликовав у себя в "базе знаний" компании, а также на своем вебсервере, вебмастером которого я и являюсь (www.russkie.com). Сейчас же я хотел предоставить ее и вам, уважаемые мои читатели-он-лайнщики.

 

Итак на 21 января 1999 года

Перечень имен троянов, известных мне (37 названий, без указания версий и дополнений)

  1. Acid Shivers
  2. Antigen
  3. Back End
  4. Back Orifice
  5. Back Door
  6. DeepThroat
  7. Devil
  8. Dmsetup
  9. EvilFTP
  10. Executer 1
  11. Executer 2
  12. Fore 1.0b
  13. FTP99cmp
  14. GateCrasher
  15. GirlFriend
  16. Hacker's Paradise
  17. ICKiLLEr
  18. ICQ Troqen
  19. Invisible FTP
  20. Master's Paradise
  21. Millenium
  22. NetBus
  23. Net Monitor
  24. phAse zero
  25. Phineas Phucker
  26. PSS
  27. Remote Grab
  28. Ripper Pro
  29. Remote windows shutdown)
  30. Shtirlitz
  31. Sivka-Burka
  32. Sstrojg ( Senna Spy Trojan Back Door Generator )
  33. Sockets de Troje
  34. StealthSpy Beta
  35. Telecommando
  36. Voice
  37. Win Cras

Список портов, используемых ими по умолчанию (44 основных порта)

Некоторые трояны используют порт 21, 23, 80, 25 и так далее -- порты, которые заняты легальными сервисами: вебсервером, мейлом, телнетом, фтп и так далее. Данные о этих троянах в этом листе не указаны. Многие трояны имеют возможность переадресации сервера на работу с другим портом. Некоторые трояны слушают клиент в большом диапозоне портов допустим с 1000 до 6000. Они тут не указаны. Словом -- удачи:)

  1. 11000
  2. 1170
  3. 12345
  4. 12346
  5. 1492
  6. 1600
  7. 1999
  8. 20001
  9. 20034
  10. 2023
  11. 2140
  1. 21544
  2. 23456
  3. 2801
  4. 3024
  5. 31337
  6. 31338
  7. 3150
  8. 40421
  9. 40422
  10. 40423
  11. 40426
  1. 4092
  2. 456
  3. 4950
  4. 5000
  5. 5001
  6. 50766
  7. 53001
  8. 555
  9. 5714
  10. 5741
  11. 5742
  1. 61466
  2. 65000
  3. 6969
  4. 6970
  5. 7000
  6. 7300
  7. 7301
  8. 7306
  9. 7307
  10. 7308
  11. 7789

 

Перечень имен файлов клиентов и серверов для поиска на локальных машинах (107 имен файлов)

Данные даны в форме: filename, (размер файла). Если имя файла встречается несколько раз подряд, а размер разный, это говорит о том, что это информация об одном и том же трояне, но различных его версиях, а следовательно и дополнительных функциях. Данные даны по клиентам и серверам. Данные отдельно по серверам публиковаться не будут, так как при наличии клиента без сервера -- становится ясно, что машина потенциально заражена или используется в целях заражения - что в принципе все едино, и пистон вставить надо в любом случае тому, у кого гадость на ящике:)

  1. ACiDShivers.exe (186368)
  2. Agent.exe (293376)
  3. Agent.exe (325632)
  4. Agent.exe (327680)
  5. antigen.exe (19456)
  6. backdoor.exe (233472)
  7. backdoor.exe (241664)
  8. backdoor.exe (294912)
  9. backdoor.exe (344064)
  10. backend.exe (102912)
  11. boclient.exe (57856)
  12. boclient.exe (707072)
  13. bogui.exe (284160)
  14. boserve.exe (124928)
  15. bug.exe (57344)
  16. cfg95.exe (79242)
  17. client.exe (164352)
  18. Client.exe (180224)
  19. client.exe (202240)
  20. client.exe (334848)
  21. client.exe (471552)
  22. client.exe (54272)
  23. Controller.exe (313856)
  24. Controller.exe (340992)
  25. control.exe (499200)
  26. DeepBo.exe (530432)
  27. Devil13.exe (95232)
  28. dmsetup.exe (40188)
  29. Exec.exe (231424)
  30. Exec.exe (249344)
  31. faxmgr.exe (27648)
  32. FixIT.exe (23087)
  33. foreclient.exe (482304)
  34. foresvr.exe (309248)
  35. FTP99cmp.exe (369185)
  36. ftp.exe (402944)
  37. gc.exe (221184)
  38. GF.exe (425984)
  39. GF.exe (454656)
  40. gserver.exe (126976)
  41. hs.exe (267264)
  42. ICKiLLeR.exe (534016)
  43. icqclient.exe (31744)
  44. icqcrk.exe (50688)
  45. ICQFlood.exe (24576)
  46. ICQFuckerExtentitions.exe (182272)
  47. icqnuke.exe (10240)
  48. icqtrogen.exe (39424)
  49. inet.drv (36864)
  50. inet.hlp (98304)
  51. KeyHook.dll (54272)
  52. lame.exe (335872)
  53. MSTConfig.exe (378880)
  54. mustget.exe (527360)
  55. NBSvr.exe (612864)
  56. NetBus.exe (1114112)
  57. NetBus.exe (494592)
  58. NetBus.exe (567296)
  59. NetBus.exe (599552)
  60. NetMonitor.exe (205824)
  61. netspy.exe (141312)
  62. Paradise.exe (1096704)
  63. Paradise.exe (1310208)
  64. Paradise.exe (855552)
  65. Paradise.exe (888320)
  66. Paradise.exe (916480)
  67. Paradise.exe (924672)
  68. Patch.exe (494592)
  69. Path.exe (472576)
  70. phase.exe (301568)
  71. Phineas.com (93250)
  72. Phucker.exe (352768)
  73. port.dat (94208)
  74. port.doc (39424)
  75. port.exe (40960)
  76. procmom.exe (14848)
  77. PSS-Client.exe (80384)
  78. readme.exe (102400)
  79. readme.exe (73728)
  80. readme.exe (77824)
  81. readme.exe (98304)
  82. RemoteControl.exe (505344)
  83. rgrab.exe (258048)
  84. RipClient.exe (305664)
  85. RipServer.exe (211968)
  86. RmtEwxC.exe (268800)
  87. server.exe (210432)
  88. Server.exe (211456)
  89. server.exe (296448)
  90. server.exe (533013)
  91. Setup.exe (14336)
  92. sockets23.exe (1082880)
  93. spyserver.exe (30720)
  94. spy.exe (48128)
  95. SysEdit.exe (473088)
  96. SystemPatch.exe (491008)
  97. TeLeCoMMaNDo.exe (327276)
  98. telman.exe (137216)
  99. telserv.exe (235520)
  100. tserv.dll (82432)
  101. uagent.exe (282624)
  102. wave.dll (27648)
  103. Wave.exe (38400)
  104. win32cfg.exe (4128)
  105. wincrash.exe (309248)
  106. windll.exe (331264)
  107. windll.exe (344064)

Неотсортированный список возможностей нескольких (6-7) троянских коней (406 функций)

  1. Lists most of the commands (description of command)
  2. Hide a task from control + alt + delete
  3. Show a hidden task in control + alt + delete
  4. List Contents of Current Directory
  5. Change To Specified Directory/Drive
  6. Clear Screen
  7. Kill Process by PID (Shown in PS)
  8. Shows Running Processes
  9. Deletes Specified Files
  10. Change Port Acid Shiver Listens on (Until Next Reboot)
  11. Change to default Windows Desktop folder
  12. Change to Windows Recent folder
  13. Change to default WS_FTP folder
  14. Show Version Number of Acid Shiver
  15. Show physical, RAM, CD-ROM, and Network drives
  16. Relay connection to host on port, Control + C to abort
  17. Sendkeys to active window
  18. Show ethernet stats and physical address
  19. Rename the users computer
  20. Shows DOS Environment variables
  21. Beeps the specified number of times
  22. Type 'CDROM' for more informationv - Terminate Acid Shiver
  23. Rename a specified disk drive
  24. Type 'Shutdown' for more information
  25. Retrives information on specified drive
  26. Disconnect a session by socket index show in 'STATUS'
  27. Shows users current system time
  28. Shows users current system date
  29. Shows some general system information about host and user
  30. Show the state of all sockets used since last reboot
  31. Retrieve specified file
  32. Retrieve specified file in hex form
  33. Run the specified shell command
  34. Run the specified command and display results (may lock up)
  35. Make a new directory
  36. Remove a directory and all files and subdirectories inside
  37. Сopy file1 to file2
  38. Spawn a text based application on a tcp port.
  39. Stops an application from listening for connections.
  40. Lists the applications currently listening for connections.
  41. Creates a directory.
  42. Lists files and directory. You must specify a wildcard if you want more than one file to be listed.
  43. Removes a directory.
  44. Creates an export on the server.
  45. Deletes an export.
  46. Lists current shared resourses (name, drive, access, password).
  47. Copys a file.
  48. Deletes a file.
  49. Searches a directory tree for files that match a wildcard specification.
  50. Compresses a file.
  51. Decompresses a file.
  52. Views the contents of a text file.
  53. Disables the http server.
  54. Enables the http server.
  55. Logs keystrokes on the server machine to a text file.
  56. Ends keyboard logging. To end keyboard logging from the text client, use 'keylog stop'.
  57. Captures video and audio (if available) from a video input device to an avi file.
  58. Captures a frame of video from a video input device to a bitmap file.
  59. Captures an image of the server machine's screen to a bitmap file.
  60. Lists video input devices.
  61. Plays a wav file on the server machine.
  62. Lists current incomming and outgoing network connections.
  63. Disconnects the server machine from a network resource.
  64. Connects the server machine to a network resource.
  65. Views all network interfaces, domains, servers, and exports visable from the server machine.
  66. Pings the host machine. Returns the machine name and the BO version number.
  67. Executes a Back Orifice plugin.
  68. Tells a specific plugin to shut down.
  69. Lists active plugins or the return value of a plugin that has exited.
  70. Terminates a process.
  71. Lists running processes.
  72. Runs a program. Otherwise it will be executed hidden or detached.
  73. Redirects incomming tcp connections or udp packets to another ip address.
  74. Stops a port redirection.
  75. Lists active port redirections.
  76. Creates a key in the registry.
  77. Deletes a key from the registy.
  78. Deletes a value from the registy.
  79. Lists the sub keys of a registry key.
  80. Lists the values of a registry key.
  81. Sets a value for a registry key.
  82. Resolves the ip address of a machine name relative to the server machine.
  83. Creates a dialog box on the server machine with the supplied text and an 'ok' button.
  84. Displays system information for the server machine.
  85. Locks up the server machine.
  86. Displays cached passwords for the current user and the screen saver password.
  87. Shuts down the server machine and reboots it.
  88. Connects the server machine and saves any data recieved from that connection to the specified file.
  89. Connects the server machine and sends the contents of the specified file, then disconnects.
  90. Ejecting And Closing The CD-ROM Drive.
  91. Sends a Msg Box To The Host.
  92. Hide\Show Startbar.
  93. Starts a FTP Server (On Port 21).
  94. Captures the screen to a Jpeg around 80 Kb and sends it to you.
  95. Sends Host to A Url Of Your Choice.
  96. Turn Monitor On/Off.
  97. Spawn Prog.
  98. Spawns a program invisibly.
  99. Reboot
  100. Scan for Hosts with DT server running.
  101. Sends a packet to see in host is Running the Server.
  102. Host System info.
  103. Open/Close CDROM
  104. Send "Beep" Signal
  105. Send text to Notepad
  106. Send Message "Yche! Yche!" with interval
  107. Send Applications Bomb
  108. Notepad Flooder
  109. Reboot
  110. Windows Clean Up
  111. ICQ Killer
  112. Full FTP access
  113. Destroy Mouse Double Click
  114. Change All System Colors To Yellow
  115. Hang Up All Connections
  116. Disable CTRL+ALT+DEL Keys
  117. Set Cursor Position To 0,0
  118. Hide Windows TaskBar
  119. Reboot Computer
  120. Enable Jumping Mouse
  121. Enable Mouse Double Click
  122. Enable CTRL+ALT+DEL Keys
  123. Show Windows TaskBar
  124. Disable Jumping Mouse
  125. Copy EXECUTER To C:\Windows\ Directory
  126. Add EXECUTER To Windows StartUp
  127. Show Message-'Hello'
  128. Show Message-'Hello bitch!!!!!!!!!!!!!!'
  129. Show Message-'Do u ready to fuck your system??????!!!'
  130. Show Message-'ShutUp bitch!!!!!!!!!!'
  131. Show Message-'Get ready to start!!!!!!'
  132. Show Message-'Thats All bitch!!!!!!!!!'
  133. Delete C:\Logo.sys
  134. Delete C:\Windows\Win.com
  135. Delete C:\IO.sys
  136. Delete C:\Windows\System.ini
  137. Delete C:\Windows\Win.ini
  138. Delete C:\Config.sys
  139. Delete C:\Autoexec.bat
  140. Enable Paiting On The Screen('DIE!!! DIE!!! DIE!!!')
  141. Disable Paiting On The Screen('DIE!!! DIE!!! DIE!!!')
  142. Enable Creating Of Many Forms With Caption('DIE!!! DIE!!! DIE!!!')
  143. Disable Creating Of Many Forms With Caption('DIE!!! DIE!!! DIE!!!')
  144. Execute File
  145. Change Desktop Colors
  146. Send Message
  147. Hide/Show Taskbar
  148. Open/Close CDROM
  149. Mouse Double Click On/Off
  150. Get Windows, System & Application Directory
  151. Terminate Server
  152. Reboot Computer
  153. "No Access" for server
  154. Self Removing Server
  155. List Dialup parameters (phone, passwords...)
  156. List ICQ UIN
  157. Process List
  158. Start FTP Server
  159. Hides the victims TaskBar
  160. Shows the victims taskBar
  161. Starts an Program on the victims computer, program doesn't have to be an .EXE, it will start and file with it's default program too.
  162. Opens the victims default Web Browser at the URL you specify
  163. Opens the victims Control Panel
  164. Opens the victims Date/Time Options
  165. Opens the victims Appearence Options
  166. Starts the victims Screen Saver
  167. Closes the Server on the victims machine
  168. Deletes a file you specify, from the victims machine
  169. Reboots the victims computer
  170. Deletes a WHOLE directory from the victims computer
  171. Clears the victims recent folder (The Documents folder on the START menu)
  172. Ends the current windows session
  173. Forces a shutdown !
  174. Loggs the victim off his/her current windows session
  175. Reads from the victims floppy drive
  176. Sends a ping to the Server
  177. Sends a Message to the victim
  178. Returns the victims WINDOWS directory
  179. Returns the victims TEMP Directory
  180. Returns the path that the server is installed on
  181. Returns the victims Hard Disk Letter
  182. Returns the victims LOCAL TIME
  183. Returns the victims OPEN WINDOWS
  184. Maximises a window on the victims computer that you specify
  185. Sets the victims Computer Name
  186. Makes the victims Mouse "CRAZY" and uncontolable
  187. Returns the victims Mouse to normal
  188. Returns the vitims ICQ#
  189. Lists all the files and any directory
  190. Formats and drive on the victims Computer
  191. Closes any window on the vitims Computer
  192. Serches for a File, or a Pattern, on the vistims Computer
  193. Sets the name of Drive C:
  194. Sets the victims Computer Name
  195. Sends text to and active input box on the victims computer
  196. Creats a file on the victims Computer that fills up the entire drive
  197. Returns the Registered User of that Computer
  198. Returns the Registered Organization of that Computer
  199. Returns the amount of free space on any drive
  200. Returns the Operating System of the victims Computer
  201. Returns the Serial Number of any Disk
  202. Opens an FTP Server on the victims computer, gives you; List, Read Write, Delete, Make Dir, Delete Dir and Execute
  203. information as text, that "infected" user enters to any window containing password field.
  204. information aspasswords, which "infected" user enters to password fields.
  205. send "system" messages to remote PC.
  206. play sounds.
  207. show bitmaps (.bmp pictures).
  208. run exe files.
  209. send "victim" to any URL.
  210. change server's port.
  211. hide GF Client with BOSSKEY=F12.
  212. scan subnet for infected servers.
  213. save windows list.
  214. work with files and folders using GF filemanager.
  215. Shutdown Remote Computer
  216. Restart Remote Computer
  217. Log-Off Remote Computer
  218. Restart Remote Computer in MS-DOS
  219. Close Remote Computer Spy
  220. Remove Remote Computer Spy
  221. Open Remote Computer CD-ROM
  222. Close Remote Computer CD-ROM
  223. Disconnect Remote Computer
  224. Disable Ctrl+Alt+Del On Remote Computer
  225. Enable Ctrl+Alt+Del On Remote Computer
  226. Hide Remote Computer Taskbar
  227. Show Remote Computer Taskbar
  228. Turn Caps Lock On On Remote Computer
  229. Turn Caps Lock Off On Remote Computer
  230. Turn Num Lock On On Remote Computer
  231. Turn Num Lock Off On Remote Computer
  232. Change Remote Computer Computer Name
  233. Change Remote Computer Recycling Bin Name
  234. Swap Remote Computer Mouse Buttons
  235. Unswap Remote Computer Mouse Buttons
  236. Set Remote Computer Cursor Position
  237. Show Remote Computer Cursor
  238. Hide Remote Computer Cursor
  239. Get Mouse Double Click Speed Of Remote Computer
  240. Set Mouse Double Click Speed Of Remote Computer
  241. Get Remote Computer Windows Mode
  242. Get Remote Computer Amount Of Mouse Buttons
  243. Get Remote Computer Windows Run Time
  244. Get Remote Computer Free Space On C:\
  245. Get Current User Logged In On Remote Computer
  246. Get Serial Number Of Drive C:\ On Remote Computer
  247. Get Remote Computer Temp Directory
  248. Get Remote Computer Windows Directory
  249. Get Remote Computer Windows System Directory
  250. Get Resolution Of Remote Computer
  251. Set Resolution Of Remote Computer
  252. Start Remote Computer Default Screen Saver
  253. Set Remote Computer Start Menu Pop-up Speed
  254. Add A Line To Remote Computer Autoexec.bat File
  255. Get Percent Of Memory Used On Remote Computer
  256. Get Number Of Bytes In Physical Memory Of Remote Computer
  257. Get Available Bytes Of Physical Memory On Remote Computer
  258. Get Total Memory Amount In Page File On Remote Computer
  259. Get Available Memory Amount In Page File On Remote Computer
  260. Get Total Amount Of Virtual Memory On Remote Computer
  261. Get Available Amount Of Virtual Memory On Remote Computer
  262. Pop-up Remote Computer Message
  263. Delete Files
  264. Copy Remote Computer Files
  265. Rename Remote Computer Files
  266. Create Remote Computer Files
  267. Close Remote Computers Programs
  268. Get List Of Running Remote Computer Programs
  269. Set Spy Password On Remote Computer
  270. Server Admin (set password, close server, restrict access)
  271. Host Info (system info, cached passwords)
  272. Message Manager
  273. File Manager (create/delete folder, upload/download/delete file)
  274. Window Manager
  275. Registry Manager
  276. Sound System Balance
  277. Plugin Manager
  278. Port Redirect
  279. Application Redirect
  280. File Actions (execute file, play sound, show image, open document, print document)
  281. Spy Functions (keyboard listen, capture screen image, capture camera video, record sound)
  282. Exit Windows (logoff, poweroff, reboot, shutdown)
  283. Client chat
  284. Open/Close CDROM
  285. Keyboard (disable keys, key click, restore keys)
  286. Mouse (swap buttons, resore buttons)
  287. Go To URL
  288. Send Text
  289. Send message
  290. Shutdown remote computer
  291. Download files
  292. Upload files
  293. Delete files
  294. Execute files
  295. Create folders
  296. Screeb capture
  297. View process list
  298. Kill process
  299. tell the server to upload the specified local file via ftp to remote path
  300. tell the server to download the specified remote file via ftp to local path
  301. execute a file (show window, hide window)
  302. change directory
  303. list directory
  304. create directory
  305. remove directory
  306. show current dir
  307. copy file
  308. move file
  309. rename file
  310. delete file
  311. type the specified text file
  312. shows an hexadecimal dump of the specified binary or text file
  313. shows the specified message into a dialog box on the server
  314. locks up the server
  315. trashes the server and locks it up
  316. create the specified registry key
  317. deletes the specified registry key
  318. deletes the specified registry value
  319. determines if a key or a name exists
  320. sets the currently open registry key
  321. read the specified key's value
  322. creates or updates the specified key and associated value
  323. lists available keys in the currently open key
  324. lists available values in the currently open key
  325. terminates the current session only
  326. terminates all connections and unloads the server
  327. Log all of the Dial-Up Networking accounts on a remote computer
  328. Capturing full-size screen
  329. Kill any programm (window)
  330. View help screen
  331. Shutdown remote machine
  332. Reboot remote machine
  333. Logoff remote machine
  334. Hide active window
  335. Destroy active window
  336. Kill window with matching title
  337. List files in current directory
  338. Change directory to [dir]
  339. Execute DOS command
  340. Launch application
  341. Send message
  342. Chat with remote
  343. Enter notification mode
  344. Sends some information - process list and more
  345. Exits server
  346. Disconnects you from server
  347. Remove server from remote computer memory
  348. Destroy the server autostart
  349. Take rights on server
  350. Change & delete password
  351. Send dialog box with OK button
  352. Send dialog box with Yes/No buttons
  353. Change folder
  354. Make new folder
  355. Remove folder
  356. Delete files
  357. List Files
  358. Get current directory
  359. Get logical drives
  360. Lock/Unlock desktop
  361. Make a puzzle with remote desktop
  362. Stars On/Off on remote desktop
  363. Hide/Show Start button
  364. Hide/Show Taskbar
  365. Hide/Show Desktop
  366. Execute application (Normal/Minimized/Maximized/Hidden Status)
  367. List/Kill 32 bit process
  368. LogOff user
  369. Reboot system
  370. Shutdown system
  371. Get user name
  372. Get computer name
  373. Get date & time
  374. Keyboard Lights Bomb
  375. Lock/Unlock Mouse
  376. Move Mouse
  377. Monitor On/Off
  378. Flip Screen
  379. Open/Close CD-ROM Drive
  380. Flood Server Printer
  381. System Keys ON/OFF
  382. Clipboard Lock
  383. Screen Saver Bomb
  384. Hide/Show Taskbar
  385. Hide/Show Start Button
  386. Disable/Enable Start Button
  387. Active the Screen Saver
  388. Remove Desktop Wallpaper
  389. Change Desktop Wallpaper
  390. Modify Remote Date
  391. Close Server EXE
  392. Delete Server EXE
  393. Lock Up the System
  394. Close all Programs
  395. Exit Windows
  396. Shutdown Windows
  397. MSG Box [Chat]
  398. Send Text
  399. Get Server Information
  400. View Remote Passwords
  401. View Remote Netstat
  402. View Active Process
  403. Open Server Hard Disk
  404. Play Wav Files
  405. Delete and Execute Files
  406. Modify Remote Autoexec.bat
Также хотел привести некоторые мои наблюдения:

Работа антивирусников (очень поверхностно, буду признателен за любые дополнения).

1. Norton Antivirus при проверке моего диска, на котором находится архив имеющихся в моем распоряжении троянцев (80 mb), пищит и скринит на BO, NETBUS, Millenium и что то еще.

2. McAfee как-то вяло реагировало на BO, кричало, било себя лицом об экран, но удалить не смогло или поленилось (y меня 3.x мотор от McAfee и я, если честно, мало им пользуюсь, не нравится он мне внешне:) Несимпатичный какой то антивирус ).

Что касается обнаружения на nework у себя в конторе -- NetBus имеет встроенный, замечательный сканер, он сам вам все скажет. Для всех других я настроил сканнер, сохранил адреса портов, и оно себе бегает и бегает, когда надо кричит, бьет посуду и требует внимания к собственной персоне.

Почему собственно все BO да NetBus -- опять же из моего личного опыта - из тысяч и тысяч попыток обнаружить у меня в сетях зараженный компьютер, добрые процентов 70 были направлены на поиск BO и NetBus. (Bo - windows 95, NetBus - 95/NT)

Теперь об известных мне способах получения троянцев вне своего желания:)

1. Любой self-extract архив типа zip, rar и так далее. Сначала ставит троян, потом себя куда прикажете

2. Файлы для MS Word97 можете позвонить троянцу прямо с страницы. ( macros )

3. Понятное дело, любой download с веба, будь то гороскоп или открытка для мамы-папы, или от мамы-папы.

4. Про ActiveX плугины и технологии я просто умолчу из страха потревожить эту тему.

5. Понятное дело, всяческие приколки в виде рождественских бегающих по экрану елок с встроенным трояно-довеском, всевозможые емейлы от незнакомых но любящих вас людей. Диски с беспатными скрин-серверами бесплатно раздаваемые в downtown Washington, DC ... (когда следующий день задали вопрос распространителю, он бросил все эти диски и убежал, только пятки сверкали)

 

Как провериться?

1. Неплохо бы регулярно посмотривать, что у вас бегает на запуске NT или windows. Смотреть реестр, autoexec и startup. Если есть какой-то неизвестный Elki_palki.exe, и он там прописан - посмотрите внимательнее и разберитесь с проблеммой.

2. Не советую ставить неизвестный софт с веба на серверах и особенно с админовскими правами (NT)

3. Не забывайте про свой таск бар -- что там творится? что это за Elki_palki.exe? Для этого существует масса утилит, к примеру Microsoft Process Viewer Application, это приложение к VC++. Очень замечательная програмка. И покажет и накажет!:)

4. В NT посматривайте за реестром, для этого есть к примеру Regmon for Windows NT/9x. Найти ее можно на http://www.sysinternals.com/.

5. Смотрите за инсталляцией software, имейте лог полного инстала - там будет написано, что перед тем как создать директорию c:\Doom сначала был скопираван файл C:\Windows\system\patch.exe /nomsg и в регистрах была произведена запись о бракосочетании. Существует большое количество софта, помогающего вам просмотреть лог, например, "InCtrl 3" ("InCtrl 3 lets you track system changes made by Windows 95 and Windows NT installation programs....")

6. Иногда полезно посканить свой собственный компьютер на предмет чем слушаем, чем воду пьем, я имею в виду открытые порты.

 

Как бороться?

Существуют многие и многие виды автоматических удовлетворителей пользователей путем выуживания подлого врага с их компьютеров и публичного сжигания кнопкой YES в боксе "Сжигать будем?". Я не то что бы не верю им, или думаю, что они-то и являются главным источником заразы, нет. Просто ну не люблю я, когда откуда-то берется "Вася Пупкин и Co" с трояндетектором. Также я не люблю, когда McAfee шлет мне длинные письма, с восторгом рассказывая, что у них обнаружено новое противоядие от только что ими изобретенного вируса. Словом -- полагайтесь на свою голову и не ленитесь. Смотрите, что ставите, куда ставите, откуда берете, и что оно и где пишет, как много есть ресурсов. И не будьте наивны, когда ваш сиди перестает играть, появляются msg на экране с воплями MUST DIE, и компьютер начинает очень тормозить! Найдите тому причину...

Очень важно при наличии какого-либо серьезного признака присутствия инородного вмешательства оборвать свой телефонный провод (волокно, нетворк cable). И, перейдя на другую машину, а может и пользуясь ранее сохраненной на диске информацией, найти причину и устранить ее. Одним словом говоря -- лист имен файлов, предоставленный мной, поможет найти подлеца, а при наличии записи о нем в Регистрах в разделе RUN* наведет вас на очень конкретные мысли, надеюсь.

 

Как велика возможность того, что меня будут сканить, и грозит ли мне это чем-либо?

Ничем это вам не грозит, если вы не поражены "недугом". Это как смотреть в пустой кошелек: кушать хочется, а денег нету. Другое дело - деньги положить туда можно (см. "о способах получения"), и тогда давайте все покушаем. Тем не менее, если вы часто онлайн и в публичных местах наподобие IRC, поставьте себе какой-либо порт смотритель. Внесите туда порты -- и в какой-то прекрасный день вы сможете увидеть IP адрес "злостного хакера"


Группы риска:
1.IRC пользователи.
2.ICQ пользователи.
3.Получатели емейлов от незнакомых людей.
4.Пользователи неизвестного софта с неизвестных вебсайтов, выполняющего неизвестные вещи с неизвестной целью.
5.Пользователи больших сетей, по принципу -- не вы, так ваш сосед.
6.Коллекционеры чего угодно -- гифов, картинок, порнографии -- если вы сняли какой-либо самораскрывающийся архив с предметами вашей страсти, будте готовы, что кто то получил ваш айпи и спешит к вам утешить свои страсти.

На этом, пожалуй, все...:)

Желаю вам всего самого лучшего.

С почтением, Препод.

Copyright (c) KOT 1999

 

Hosted by uCoz