«papst»

До мене приходить досить багато листів з проханнями написати як користуватися троянами, що таке троян і т. д. Тому я вирішив написати цю статтю і охопити всі питання, що стосуються троянів: що таке троян, види троянів, налаштування, захист.

Багато називають троян вірусом, насправді це не так. Троян це маленька програмка за допомогою якої ви в більшості випадків можете контролювати чужим комп’ютером (в залежності від трояна). Ще їх називають утилітами віддаленого управління, наприклад останній продукт cDc — BO2000, вони представляють як «Утиліта віддаленого адміністратірованія комп’ютером».

Види троянів

Трояни діляться на 3 типи: Back Door, e-mail (Mail sender), Key Logger.

1) Back Door — Зараз це найпоширеніший вид троянів. Складається з клієнта і сервера. Сервер відправляється жертві і в подальшому вся робота ведеться за принципом клієнт-сервер, тобто ви посилаєте команди через клієнта, а сервер їх виконує. В залежності від налаштування сервера і трояна ви можете обмежити доступ до сервера паролем, або поставити певну кількість осіб підключених одночасно до сервера. Після підключення до серверу ви можете керувати комп’ютером точно також як і своїм: Перезавантажувати, вимикати, відкривати CD-ROM, видаляти, записувати, змінювати файли. Також можна витягувати паролі. Загалом, функцій мільйон, але все залежить від самого трояна, наприклад Sub7 має просто безліч функцій.

2) E-mail trojan — Цей вид троянів працює за принципом надсилання інформації господареві на e-mail. Хто ще не здогадався на e-mail відлітають паролі практично на все, що є на комп’ютері: Dial-Up, ICQ, e-mail, А троян типу «Наеби сусіда» висилає навіть номери телефонів провайдера, налаштування DNS і т. д. Так що так. Одним словом цей вид просто займається збором інформації і жертва навіть може не знати, що його паролі вже давно комусь відомі, іноді він про це здогадується тільки тоді, коли приходить рахунок від постачальника :). Цей вид в основному складається з 2-х файлів: сам троян та файл для його конфігурування. Але про це трохи пізніше.

3) Key Logger — Принцип простий, записує всі клавіші в окремий файл і потім він як і e-mail троян надсилає цей файлик до господаря на e-mail. На мій погляд він самий примітивний, але хороший у використанні коли жертва при з’єднанні з Інтернетом не ставить галочку «Запам’ятати мій пароль».

Налаштування

Далі розглядатиметься настройка всіх 3-х типів троянів.

1) Back Door
В основному головна мета налаштування Back Door трояна потрібна для отримання IP адреси на e-mail, ICQ ( Sub7 також може відсилати на IRC). IP адреса потрібен для того, щоб підключитися до сервера і керувати ним. Без IP адреси ви нічого не зможете зробити. До більшості троянів додається файл конфігурації, з допомогою якого конфігурується сервер або ви просто можете налаштувати сервер з самого клієнта (наприклад, в Net bus). Для отримання IP вам треба вказати ваш e-mail адресу, на нього буде приходити IP жертви), і вказати SMTP (Simple mail transmission protocol) сервер через який буде пересилатися лист від трояна з IP адресою жертви. Ну тут треба бути обережним і спочатку перевірити SMTP сервер не працездатність. На цьому налаштування e-mail закінчена. Якщо можлива пересилка IP адреси через ICQ то це на багато зручніше, просто вкажіть ваш UIN і як тільки жертва в мережі, вам на ICQ буде приходити IP адресу. Якщо ICQ повідомлення у налаштуваннях сервера немає, то дуже зручно використовувати програмку Joiner (вона є у нас, в розділі Download>Hack tools). З допомогою цієї програмки ви зможете склеїти серверну частину трояна з будь-яким файлом, і включити повідомлення по ICQ. При запуску готового результату до вас на ICQ прийде IP запустив готовий файл. Далі потрібно вказати порт, через який ви з’єднаєтеся з вашим сервером. У всіх троянах вибрано за промовчанням (у кожного свій), але ви можете вказати будь-який порт. Після того як ви вказали порт, можна поставити пароль на ваш сервер, щоб ніхто інший не зміг їм користуватися. Також можливо вказати кількість осіб підключених до сервера в один час. Знову ж таки все залежить від самого трояна, у всіх додані свої специфічні налаштування. Після того як все налаштовано: e-mail, порт і т. д., треба пропатчити сам сервер. У більшості випадків у вікні налаштування сервера є кнопка (в Sub7 це наприклад кнопка Browse, поруч з написом server) при натискання якої відкриється вікно, в якому вам потрібно вказати чистий сервер (завжди читайте readme файл там завжди написано який exe файл є сервером, який клієнтом і т. д.) вкажіть сервер файл і натисніть «Відкрити» або «Open». На цьому налаштування сервера закінчена і готовим сервером з вашими налаштуваннями буде файл, який ви пропатчили. Тепер щоб підключитися до вашого сервера, зайдіть в клієнтську частину трояна, введіть IP-адресу жертви і порт, який ви вказали при налаштуванні сервера, натисніть Connect і ви у нього в комп’ютері. Це були найбільш потрібні налаштування, які є в більшості Back Door троянів.

2) E-mail trojan
Тут все на багато простіше, так як токового з’єднання з сервером не проводитися. Тут в налаштуваннях треба вказувати тільки ваш e-mail для отримання паролів і т. д. і SMTP сервер для пересилання листа. Знову ж перевіряйте SMTP на працездатність. Як і у випадку з Back Door, після установки необхідно пропатчити сервер.

3) Key Logger
Тут все аналогічно e-mail трояну. працює за таким же принципом — пересилання інформації, так що, я повторюватися не буду. Але іноді в key logger троянах, LOG-файл можна також забирати по FTP (21port). Відверто кажучи, це дуже рідкісні і мало використовувані трояни, і ними мало хто користується.

Захист

Тут розглянуті різні типи визначення троянів, і захисту від них.

Головним захистом як ти вже здогадався є AVP, так як при спробі запуску зараженого файлу він блокує доступ. А взагалі треба самому думати перед тим як щось запускати і скачувати. Якщо до тебе по Асі раптом постукає незнайомка і першою її месагой буде «хочеш мою фотку?», це мені здається, дає привід для роздумів. Або в твоїй поштовій скриньці ти виявиш лист з програмкою від Microsoft, при запуску якої ти отримаєш 100 баксів від дядька Біллі, а якщо ти перешлеш її своїм друзям, то ти отримаєш по 80 баксів за кожного :). У більшості випадків трояни прописуються до тебе в реєстр, і там спокійно сидять, і при запуску кватирок запускаються (ти, звісно, нічого не помітиш, хоча їх іноді видно при натисканні клавіш ALT+CTRL+DEL). Якщо у тебе сидить троян, то він швидше за все може бути в таких місцях в реєстрі:

H_L_MSoftwareMicrosoftWindowsCurrentversionrun
H_L_MSoftwareMicrosoftWindowsCurrentversionrunservicesonce
H_L_MSoftwareMicrosoftWindowsCurrentversionrunonce
H_L_MSoftwareMicrosoftWindowsCurrentversionrunservices

Іноді вони прописуються не під своїм ім’ям, так що будь обережний. Запустити реєстр можна з рядка ПУСК, введи слово «regedit» і натисніть Enter. Тільки якщо не впевнений, то краще нічого не міняти і не видаляти. Троян може засісти в автозавантаження або файли win.ini і system.ini, в папці Windows, але це мало ймовірно, хоча зайвий раз перевірити не завадить.

Також деякі трояни після запуску генерують помилку і прописуються в папку Windows або Windowssystem під ім’ям якої-небудь бібліотеки, або якого-небудь системного файлу. Якщо ти виявиш заражений трояном файл то скоріше всього тобі Windows не дасть його видалити. Я в такому випадку користувався своїм методом (називаю своїм, так як про цей метод я ще ніде не читав і придумав його сам), визначаєш яким заражений трояном, знаходиш клієнтську частину цього трояна, запускаєш її, підключаєшся сам до себе за адресою 127.0.0.1 і через клієнта вбиваєш сервер, після чого, заражений файл спокійно видаляється. Цей метод поганий тим, що працює тільки на Back Door троянах.

У висновку хотілося б сказати, що дане керівництво було написано не для того, що б всі кинулися спамити троянами кого, а для загальної інформації, щоб знати принципи роботи троянів і шляхи їх знешкодження. Надалі копіюванням дозволено тільки після дозволу автора.

Допомогу починаючому троянщику

Багато користувачів інтернету не раз стикалися з проблемою, пов’язаною з «прихватизированием» його інтернет аккаунта, ICQ, Email a і т. д. і задавалися питанням «як же це так виходить». А ось так! Не фіга скачувати з інтернету всілякі саморозпаковуються архіви з порнухою, прискорювачі інтернету, емулятори 3D прискорювачів і всіляку іншу лабуду. Тому найчастіше це виявляються справжні троянські коні, які тільки і чекають з’єднання з інтернетом щоб відіслати всю можливу інформацію зібрану з вашого комп’ютера, злісному дядьку! 🙂 І так дана стаття присвячена тому звідки ж з вашого комп’ютера, і головне як, можна потягнути цю інформацію.

* Я не даю посилання на перераховані програми, знайдете самі, це не так вже й важко робити.
** Я припускаю що читач має навички програмування.

1. Віндовс

1.1 Ну тут я напевно повторюся, але все таки мало хто ще не знає. Мова йде про Віндовс 9x. Так ось ця операційна система має особливість зберігати паролі від «Віддаленого з’єднання» у файлі PWL. Однак це тільки половина біди (для користувача) паролі там лежать в зашифрованому вигляді, але программеры мелкософта пре дусмотрели (спасибі їм за це) приховану або не приховану Функцію API під гордим ім’ям WNetEnumCachedPasswords, при натисненні якої своєї програми (троянського коня) можливе отримання ваших парольчиков у ВІДКРИТОМУ ВИГЛЯДІ.
Опис даної функції можна знайти на дисках MSDN Microsoft Development Kid. Приклад застосування даної функції можна побачити за допомогою програми PLWVIEW.

1.2 Також необхідно зазначити, що теж саме можна зробити за допомогою наступних API: RasEnumConnectionsA, RasEnumEntriesA.

1.3 Реєстру Віндовс — не паханное поле для витягування всілякої інформації. Але до цього ми повернемося пізніше ( може навіть в іншій статті).
Після всього прочитаного вище невчений чоловік скаже «ЕЕЕ Куди я потрапив! Що ж робити!». І, як правило, дізнається, що існують такі програми як дозвонщики типу: Etype Dialer, Advanced Dialer,… Dialer. Ставить їх собі на комп’ютер і вже не біс спочивати про цих долбанных PWL, так як ці програми зберігають всі налаштування зі своїх власних файлах! Але не тут то було ….

2. Диалеры

Ну що я можу сказати… Вешайтесь панове! Відкрию вам один секрет… паролі до інету в цих програмах теж розшифровуються і ще як !

2.1 Alex Dialer. Простенький діалер написаний якимось мальцом. Всі параметри, від діалапу зберігаються в одному файлі (назви не пам’ятаю, поставивши цю програму ви легко знайдете даний файл). І ці параметри там лежать у відкритому вигляді! Тобто зловмисникові досить натягнути цей файл у вас і весь ваш інтернет у нього в кишені!

2.2 Etype Dialer. Ну це творіння цікавіше. Всі налаштування зберігаються у файлі: C:WindowsEtype.ini і паролі від сполук вже зашифровані… але не розслаблятися! вони легко розшифровуються:
Приклад:
Зашифрований пароль: abcde
фраза «abcde» в Hex Коди являє собою: 61h 62h 63h 64h 65h
61h — літера «a»
62h — літера «b» і т. д.
Беремо ці значення і віднімаємо з них число вираховується за формулою:
порядковий номер літери — 1)

61h — (1-1) = 61h
62h — (2-1) = 61h
63h — (3-1) = 61h
і т. д. і виявляємо що розшифрований пароль являє з себе «aaaaa» !

2.3 Advanced Dialer. Це диво природи зберігає паролі в РЕЄСТРІ віндовс. тобто нашому починаючому троянщику буде необхідно навчитися користуватися такими функціями як:
RegQueryValueExA
RegOpenKeyExA
RegCloseKey

УВАГА! НЕОБЕРЕЖНЕ ПОВОДЖЕННЯ З РЕЄСТРОМ МОЖЕ ПРИЗВЕСТИ ДО «ПАДІННЯ» СИСТЕМИ.
ТОБТО ІНШИМИ СЛОВАМИ КАЖУЧИ: «НЕ ЗНАЄШ — НЕ ЛІЗЬ». 🙂

мені не вдалося зрозуміти як шифрує паролі ця програма, однак для цього злого дядька це не перешкода !
Ми просто скопіювати шматок реєстру HKEY_CURRENT_USERSOFTWAREPySoftAutoconnect і поставивши у себе цей самий Advanced Dialer скопіюємо цей шматок собі! а потім взявши в руки програмульку «peeper» подивимося цей пароль прихований зірочками.