NetBus — троянец-игрушка!

Спецвыпуск хакер, номер #001, стр. 001-074-2

«А если какой-то гад засунул этот твой НетБас на мою машину?» — спросишь ты. А вот тогда тебе нужно в любой момент времени посмотреть список текущих соединений, и если кто-то на твоей машине уже полчаса треплется с порта 12345 — значит, у тебя ночует НетБас. Проверить текущие соединения легко: для этого запусти netstat.exe в командной строке. И эта прога тебе все покажет: кто, когда, с кем, во сколько, сколько заплатил и что он ел на завтрак.

Ну и самый простой и надежный способ — исследовать свой registry. Для этого достаточно запустить regedit.exe. В разделе HKEY_CURRENT_USER есть подраздел PATCH. И если ты сам не играл с сервером НетБаса, значит, им у тебя поиграл кто-то другой или ты сам, о том не подозревая, его установил ;-).

Гораздо более профессионально и продуманно сработан БэкОрифис. Приведу два примера.

Первый — протокол связи. Описанным выше способом отслеживаются сеансы связи NetBus, но не Back Orifice, потому как он не пользуется телефонной связью (TCP). Возникает законный вопрос: как же он держит связь, если не через телефон? А очень просто — через пейджер (протокол UDP). Как видно из аналогии, подобная связь менее удобна — при ней нет соединения как такового. То есть ты посылаешь сообщение и не знаешь, получил ли его абонент (может, он сейчас в метро ;-). Более того, посылаемые UDP — пакеты шифруются. В отличие от НетБаса, который общается открытым текстом.

Второй — открытый интерфейс. БэкОрифис предусматривает использование плагинов (plug-in). Чтобы добавить функцию, которая не была включена в стандартный набор, достаточно написать плагин в виде ДЛЛ и в нем ее реализовать. Спецификации прилагаются. Не так уж сложно для программиста средней руки. Зато какое поле для фантазии и экспериментов над чужими машинами!

Но хватит теории — перейдем к практике. Посмотрим, как можно побаловаться с НетБасом и даже хакнуть его «подручными» средствами, пользуясь ламерским программным исполнением оного. Для данной лабораторной работы нам понадобится НетБас до версии 1.70 и программа telnet.exe (входит в стандартный набор Windows).

1. Запускаем «patch.exe /noadd »

2. Запускаем telnet.exe

Опция noadd говорит серверу НетБаса не прописывать себя в автозагрузку виндов, а сработать одноразово. (Надеюсь, ты не хочешь сам себя заразить трояном?)

Теперь надо связаться с засевшим у тебя на компе агентом. Если помнишь, он ждет на порте 12345. В программе телнет выбираешь меню connect пункт Remote System. В поле hostname набираешь localhost (то есть коннектишься к собственному компьютеру), а в поле port — 12345 и давишь на пимпу connect.

Если троян на месте, он живо откликнется, сообщив свою версию. Например, «NetBus 1.60».

Он готов к работе. Можешь набрать GetInfo и нажать ввод — НетБас выдаст тебе информацию о компьютере.

Назад на стр. 001-074-1  Содержание  Вперед на стр. 001-074-3

загрузка...
Cпец Хакер #075Cпец Хакер #074Cпец Хакер #073Cпец Хакер #072Cпец Хакер #071Cпец Хакер #070Cпец Хакер #069Cпец Хакер #068Cпец Хакер #067Cпец Хакер #066Cпец Хакер #065Cпец Хакер #064Cпец Хакер #063Cпец Хакер #062Cпец Хакер #061Cпец Хакер #060Cпец Хакер #059Cпец Хакер #058Cпец Хакер #057Cпец Хакер #056Cпец Хакер #055Cпец Хакер #054Cпец Хакер #053Cпец Хакер #052Cпец Хакер #051Cпец Хакер #050Cпец Хакер #049Cпец Хакер #048Cпец Хакер #047Cпец Хакер #046Cпец Хакер #045Cпец Хакер #044Cпец Хакер #043Cпец Хакер #042Cпец Хакер #041Cпец Хакер #040Cпец Хакер #039Cпец Хакер #038Cпец Хакер #037Cпец Хакер #036Cпец Хакер #035Cпец Хакер #034Cпец Хакер #033Cпец Хакер #032Cпец Хакер #031Cпец Хакер #030Cпец Хакер #029Cпец Хакер #028Cпец Хакер #027Cпец Хакер #026Cпец Хакер #025Cпец Хакер #024Cпец Хакер #023Cпец Хакер #022Cпец Хакер #021Cпец Хакер #020Cпец Хакер #019Cпец Хакер #018Cпец Хакер #017Cпец Хакер #016Cпец Хакер #015Cпец Хакер #014Cпец Хакер #013Cпец Хакер #012Cпец Хакер #011Cпец Хакер #010Cпец Хакер #009Cпец Хакер #008Cпец Хакер #007Cпец Хакер #006Cпец Хакер #005Cпец Хакер #004Cпец Хакер #003Cпец Хакер #002Cпец Хакер #001