Главная страница
Программирование
Песнь о CGI-скриптах
Полезные советы по Delphi
Все о DDE
Hacking
Жаргон
Cнифферы
Сбор инфы
Информация из Sniffer FAQ
Tроян Net-Bus
Nuke атака
Халявный инет
Разное
Гостевая книга
Форум
Анекдоты
Почему пиво лучше, чем женщины?
Download
FidoNet?!
СПАМ
Раскрутка Web-узла...
Возможности proxy-сервера
Автоматическая регистрация в поисковиках и каталогах

Tроян Net-Bus


Попав на компьютер и запустившись, он устраивается у условленного телефона и ждет звонка. Когда ему звонят, он снимает трубку и представляется: «Здравствуйте. НетБас версии 1.62 слушает. Чем я могу Вам помочь?»
Лучше сказать программе так: «По прибытии выходишь со мной на связь и выполняешь мои указания». Таким образом программа становится «глазами» и «руками» на чужом компьютере.
Идея заслать во вражеский стан «своего» человека, который бы мог собирать информацию, совершать диверсии и вообще выполнять любые задания центра далеко не нова. Но лишь в относительно недавнее время она стала так массово и успешно применяться для компьютерных диверсий. По-видимому, изготовители хакерских утилит наконец прониклись идеями дяди Билли, который уже давно пропагандировал технологию клиент-сервер.
Итак, по порядку. Предположим, что кто-то хочет собрать некоторую информацию или совершить какое-либо действие на чужой машине. Есть 2 способа это сделать. Можно заранее проинструктировать программу, что делать. Типа: «По прибытии отыщешь мне каталог Windows, в нем соберешь все файлы с расширением PWL и отправишь мне по почте». Но это старо, нединамично, не интерактивно и пошло - в общем, не прикалывает. Лучше сказать программе так: «По прибытии выходишь со мной на связь и выполняешь мои указания». Таким образом программа становится «глазами» и «руками» на чужом компьютере. Имея их, можно выполнить многое. Не буду расписывать все команды, реализованные в конкретной версии двух наиболее популярных (на мой взгляд) троянов - НетБаса (NetBus) или БэкОрифиса (Back Orifice). Их увидит любой, запустив программу управления соответствующего трояна. Для примера приведу лишь несколько самых прикольных/полезных команд НетБаса.
* Открыть/закрыть подставку для чашки кофе, один раз или с интервалом
* Поменять местами клавиши мыши
* Выполнить команду/запустить программу/перейти на определенный URL
* Управлять координатами курсора мыши
* Показать диалог с выбором и сообщить выбор
* Зашатдаунить винды/отлогинить пользователя
* Посылать/принимать нажатия клавиш (текст)
* Получить снимок экрана
* Просмотреть содержимое жестких дисков, скачать/заслать/удалить файл
* Записать текущий звук и прислать
* Открыть/закрыть/сфокусировать окно

Вернемся к технологии. Итак, центральное место в работе этих программ занимает связь между сервером (засланным на чужой компьютер) и клиентом (управляющим инструментом).
Для начала поймем, как происходит связь 2-х компьютеров через Интернет. В случае НетБаса используется протокол TCP. Это похоже на разговор по телефону. Представь себе, что в компьютере есть более 30 тысяч телефонов (портов), и с каждого можно позвонить на каждый данный компьютер или на удаленный. После соединения можно передавать/принимать информацию. Правда, по некоторым телефонам не дозвониться, так как они уже заняты системными службами.
Сервер НетБаса действует следующим образом. Попав на компьютер и запустившись, он устраивается у условленного телефона и ждет звонка. Когда ему звонят, он снимает трубку и представляется: «Здравствуйте. НетБас версии 1.62 слушает. Чем я могу Вам помочь?» До версии 1.70 номер порта был фиксированный - 12345. Таким образом проверить наличие на машине сервера было крайне просто - надо просто законнектиться на этот порт и посмотреть, будет ли ответ. (В нормальном случае либо никто не ответит, либо просто пошлют.) Начиная с версии 1.70, номер порта можно задать самому. Когда номер порта неизвестен, можно лишь последовательно прозванивать все не зарезервированные порты (после 1024). Руками это делать - умаешься, тут потребуется программа с возможностью сканирования диапазона портов (Port Scanner).
«А если какой-то гад засунул этот твой НетБас на мою машину?» - спросишь ты. А вот тогда тебе нужно в любой момент времени посмотреть список текущих соединений, и если кто-то на твоей машине уже полчаса треплется с порта 12345, - значит, у тебя ночует НетБас. Проверить текущие соединения легко - для этого запусти netstat.exe в командной строке. И эта прога тебе все покажет: кто, когда, с кем, во сколько, сколько заплатил и что он ел на завтрак.
Ну и самый простой и надежный способ - исследовать свой registry. Для этого достаточно запустить regedit.exe. В разделе HKEY_CURRENT_USER есть подраздел PATCH. И если ты сам не играл с сервером НетБаса, значит им у тебя поиграл кто-то другой, или ты сам, о том не подозревая, его установил ;-).
Гораздо более профессионально и продуманно сработан БэкОрифис. Приведу два примера.
Первый - протокол связи. Описанным выше способом отслеживаются сеансы связи NetBus, но не Back Orifice, потому как он не пользуется телефонной связью (TCP). Как же он держит связь, если не через телефон, возникнет законный вопрос. А очень просто - через пейджер (протокол UDP). Как видно из аналогии, подобная связь менее удобна, при ней нет соединения как такового. То есть ты посылаешь сообщение и не знаешь, получил ли его абонент. (Может он сейчас в метро ;-) Более того, посылаемые UDP пакеты шифруются. В отличие от НетБаса, который общается открытым текстом.
Второй - открытый интерфейс. БэкОрифис предусматривает использование плагинов (plug-in). Чтобы добавить функцию, которая не была включена в стандартный набор, достаточно написать плагин в виде ДЛЛ и в нем ее реализовать. Спецификации прилагаются. Не так уж сложно для программиста средней руки. Зато какое поле для фантазии и экспериментов над чужими машинами!
Но хватит теории - перейдем к практике. Посмотрим, как можно побаловаться с НетБасом и даже хакнуть его «подручными» средствами, пользуясь ламерским программным исполнением оного. Для данной лабораторной работы нам понадобится НетБас до версии 1.70 и программа telnet.exe (входит в стандартный набор Windows).
1. Запускаем «patch.exe /noadd »
2. Запускаем telnet.exe
Опция noadd говорит серверу НетБаса не прописывать себя в автозагрузку виндов, а сработать одноразово. (Надеюсь, ты не хочешь сам себя заразить трояном?)
Теперь надо связаться с засевшим у тебя на компе агентом. Если помнишь, он ждет на порте 12345. В программе телнет выбираешь меню connect пункт Remote System. В поле hostname набираешь localhost (то есть коннектишься к собственному компьютеру), а в поле port - 12345 и давишь на пимпу connect.
Если троян на месте, он живо откликнется, сообщив свою версию. Например, «NetBus 1.60».
Он готов к работе. Можешь набрать GetInfo и нажать ввод - НетБас выдаст тебе информацию о компьютере.
Я еще не упомянул о возможности задать серверу НетБаса пароль, чтобы никто, кроме установивших его, не могли этим сервером воспользоваться. В этом случае НетБас тебя поприветствует чуть иначе. На конце появится буква «х» : «NetBus 1.60 х».
Для установки пароля достаточно набрать «ServerPwd;твой пароль».
Чтобы убедиться, что пароль задан, можно сделать Disconnect в телнете и заново попробовать законнектиться. Теперь сервер будет отказываться выполнять твои команды, резонно требуя пароль. Пароль передается следующим образом: «Password;0;твой пароль».
Сервер отвертит «Access;1», если пароль подходит, и «Access;0», если пароль задан неверно.
Пытливый ум непременно заинтересуется: «А что означает этот ноль в команде ввода пароля? А если я туда поставлю не ноль, а, скажем, единицу? Например, «Password;1;я от Иван Иваныча». И будет прав. Произойдет чудо. В этом случае сервер примет от тебя абсолютно любой пароль. Даже такой бредовый. Ну, вот ты и хакнул пароль в НетБасе. Мелочь, а приятно. Ну, а как установить свой пароль, ты уже знаешь. Побалуйся, поиграй, только когда наиграешься, не забудь выгрузить сервер НетБаса из памяти - «patch.exe /remove» (если не хочешь, чтобы кто-нибудь другой поиграл с тобой. Например, я :)).

be number one Web-KatoK TOP100! WebLinks Kaliningrad.net SUPERTOP

Hosted by uCoz