[ Инструкция по использованию "программ удаленного администрирования". ]
Date: 18.01.03
О том, что помнит Ваш компьютер из того, что ему помнить не стоило бы.
Многие говорят, что троян - это вирус. На самом деле это не так.
Что такое вирус? Это программа, которая, попав каким либо образом
на Ваш компьютер, начинает жить и действовать автономно, то есть сама по себе,
без чьей либо помощи. Вот это вирус. Как правило, целью вирусов является уничтожение информации.
Существует очень много видов вирусов и их вариаций.
Было бы намного правильнее называть троян "системой удаленного администрирования".
Как правило, цель трояна - управление информацией на удаленном компьютере.
Естественно, управление это тоже бывает разное - законное и незаконное.
Последние версии некоторых троянов разработчики уже официально так и называют программыми
удаленного администрирования, к примеру bo2k 2000 представлена как "Утилита удаленного администрирования
компьютером".
Все троянские программы можно разделить на 3 вида: 1. Backdoors
2. E-mail trojans
3. Keyloggers
Давайте подробнее остановимся на каждом их этих видов.
1. Backdoors
Это наиболее распространенный вид троянов на сегодняшний день.
Работа такого трояна ведется по системе клиент-сервер. Вы посылаете команды от клиента, а сервер,
установленный вами предварительно на удаленной машине, их выполняет.
В зависимости от вида трояна и вашего желания: ~ Можно поставить пароль на серверную часть, чтобы только вы имели к ней доступ
~ Можно ограничивать количество человек "висящих" на сервере одновременно
После установки соединения можно управлять удаленным компьютером в том объеме,
в котором позволяют функции вашего трояна:
~ Скачивать, закачивать и удалять файлы
~ Перезагружать и выключать компьютер
~ Открывать CD-ROM
~ Вытаскивать пароли
и многое другое
Настройка: Цель настройки Backdoor'а - получить IP адрес на e-mail, IRC, ICQ.
IP нужен для того, чтобы подключиться к серверу и управлять им.
Как правило, такие программы снабжены файлами конфигурации, которые позволяют
настроить сервер из самого клиента. Для получения IP необходимо указать свой e-mail адрес
и SMTP сервер, через который будет пересылаться IP адрес жертвы от трояна.
Естественно, при использовании нужно проверить SMTP сервер на работоспособность,
чтобы потом не плеваться, почему ничего не приходит.
Намного удобнее будет пересылка IP на ICQ адрес.
Существует множество способов "установки" backdoor'a. Один из них - скленивание серверной части
с другой программой или файлом посредством программки Joiner (можно слить с нашего сайта).
Еще необходимо указать порт, через который клиент будет соединяться с сервером.
Во всех троянах он выбран по умолчанию (для каждого свой). Можете посмотреть в архиве
наших статей - "Стандартные троянские порты".
Далее необходимо установить пароль на ваш сервер, чтобы только вы смогли им пользоваться.
Далее можно указать количество человек, которые могую подключаться одновременно к одному серверу.
В зависимости от трояна могут быть и другие специфические настройки.
Далее необходимо пропатчить сервер. Как правило Browse -> Ищем сервер и жмем кнопку Patch
Подключение:
~ Войти в клиентскую часть
~ Ввести IP сервера и нажать Connect
2. E-mail trojans
Такие трояны, как правило, состоят из двух частей: непосредственно троян и файл его конфигурирования.
Принцип действия: отсылает пароли на заранее определенный вами e-mail.
Цель: ~ Получение паролей удаленного пользователя на Dial-up соединение, ICQ, E-mail,
получение номеров телефонов провайдера, которые удаленный пользователь использует при дозвоне,
~ Получение информации об удаленной системе
В общем прийти к вам на ящик может многое.
Настройка: Необходимо открыть конфигурационный файл и ввести e-mail, на который должна приходить информация,
и SMTP сервер (зачастую поставлен по умолчанию).
После настройки необходимо пропатчить сервер.
3. Keyloggers
Программы шпионы, как правило многофункциональные. Позволяют записывать все действия, произведенные пользователем
на удаленном компьютере, включая нажатие клавиш, заголовки окон,
время действия с буфером обмена; ведется также запись времени начала
и завершения работы компьютера, а также списка всех работающих программ.
Как правило, программа "с завидной периодичностию" отсылает всю собранную информацию на e-mail.
Иногда LOG файл можно забирать по FTP (21 порт).
Кому-то это покажется примитивным, однако это хороший способ, к примеру, получить
пароли жертвы на Dial-up соединение, если он/она не ставит галочку "Запомнить пароль".
А таких людей становится все больше и больше.
Настройка:
Аналогична настройке e-mail трояна.
ЗАЩИТА
1. Прежде всего необходимо установить AVP, который блокирует доступ при попытке запуска зараженного файла.
2. Думай, что открываешь. Если тебе предлагают в письме СУРЕП ПАТЧ для Windows, после которого
"никакой хакер к вам не проникнет", или, если тебе предлагают обменяться фотками по ICQ
через пять минут после разговора - сразу говорю - "посылай в корзину !". Одно время пользовался "большим спросом"
"Крякер интернета", который якобы высылал вам пароли всех пользователей Интернета сразу после запуска.
Можно смеяться!
3. Установи Firewall.
Если даже троян пропишется к тебе на машину и AVP его не просекет, то при попытке выйти в
Интернет Firewall пнет его куда подальше.
При запуске такие программы прописываются в реестр и активизируются при следующем старте винды.
Как заметить самому: ~ CTRL+ALT+DEL -> Смотри список запущенных процессов. Если видишь что-то подозрительное - ищи его на диске и пинай.
~ Загляни в реестр aka Regedit (пуск->выполнить->regedit):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
~ Троян может лежать в Windows -> win.ini или system.ini
~ Троян может скрываться под видом какой-нибудь библиотеки в Windows -> System
Многие трояны разрешают переименовывать серверную часть, так что она может называться как
угодно, что затрудняет ее поиск.
Советs: ~ Если не знаешь, что именно является трояном в твоем реестре, то ничего не трогай и не удаляй, а то существует вероятность того, что
ты загубишь систему, большая вероятность.
~ Этот способ полезен, если троян прописан в папку Windows -> Systems,
откуда винда не дает удалить файлы. А если удалишь, что не так, то система падет, как Римская
Империя когда-то.
ЗЫ...
И помните, про возможность записи того, что вы печатаете на чужом компьютере,
владельцем этого компьютера, или, если смотреть на это с другой стороны,
ваше право посмотреть, что творилось на вашем компьтере, пока вас не было в офисе.
И то, и другое делается одним методом: все, что набирается на клавиатуре,
заносится в текстовый файл специальной программой. Так что набранный вами
текст на компьютере в бизнес-центре или интернет-кафе может легко стать
достоянием владельца такого компьютера.
Технически такая операция выполняется классом программ, называемых keyboard loggers.
Они существуют для разных операционных систем, могут автоматически загружаться
при включении и маскируются под резидентные антивирусы или что-нибудь еще полезное.
Поэтому не советую пользоваться своим почтовым ящиком у друзей, а также
подключаться к своему сайту через FTP-клиен или Броузер у друзей, а также
вводить любые свои пароли на компьютерах "отличных от вашего" у друзей, которые
могут оказаться нечистыми на руки.
P.S.
Статья написана для того, чтобы привлечь внимание рядовых пользователей
Интернета к проблеме утечки частной информации. Статья описывает информацию,
которую должен знать каждый человек, так или иначе связанный с Интернетом, и
владеющий, по его мнению, конфиденциальной информацией.
{dr}{NerVe} [KODSWEB]
!!! Статья является собственностью команды KODSWEB !!!
!!! Любое распространение без нашего разрешения строго запрешено !!!
