Как стать рабовладельцем в сети

Спецвыпуск хакер, номер #001, стр. 001-098-1

KurT (ICQ: 2950197) and DoC (serguei@earthling.net)

у, о Троянцах, наверное, все слышали. Хорошие это штучки для хакера. Впариваешь глупому юзеру прогу, он ее запускает и сразу становится твоим рабом. Отдает тебе свой Интернет-акаунт, почтовые пароли, аську и всю другую конфиденциальную инфу. Часто он еще дарит тебе доступ к своему винчестеру, позволяет управлять своей мышкой, смотреть на свой экран и т.д. В общем, если рабовладельчество тебе по душе, то Троянцы — это то, что тебе нужно.

Мы с приятелем эту фишку быстро просекли, скачали несколько разных Троянов, но, в конце концов, решили сделать своего. О нем-то мы тебе и расскажем.

Step 1

«Как получить раба»

Для начала скачиваешь себе файл «StlthCfg.exе» (www.xakep.ru/ scfg.exе) — эта программа сгенерирует Трояна и сконфигурирует его под тебя. Чтобы произвести настройку, ты должен ввести свой Email (на него будут приходить спертые Пароли) и свой идентификатор для опознания тебя самой программой.

Затем наступает самая ответственная часть — впаривание Троянца юзеру ушастому. Впаривание лучше всего производить под видом некой очень полезной программы, якобы ускоряющей работу в Интернете в 5 раз :). Ну или что-нибудь подобное в этом духе. Если юзер действительно ЮЗЕР, то он на это клюнет и с радостью возьмет у тебя прогу и, конечно же, сразу после получения ее запустит. Ура!!! Вот ты и рабовладелец!

Как и большинство подобных программ, наша после первого запуска копирует себя в директорию, где живут винды под каким-нибудь неприметным именем. В то же время она добавляет себя в один из разделов регистра, который обеспечивает ей загрузку при каждом старте виндов. Для обеспечения прикрытия свой легенды (т.е. чем ее представили жертве) она может выдать какое-нибудь сообщение для отвода глаз типа «Required DLL MFC50.DLL not found. The program will now terminate», что в переводе с буржуйского значит: «Требуемая библиотечка MFC50.DLL не найдена. Программа завершит свою работу.»

На сайте ты сможешь выбрать нужную легенду или заказать новую. Под этим предлогом наш Троянец избежит выполнения обещанных функций (типа апгрейда ICQ до самой неслыханной версии). Для случая, когда Троян запущен не самим пользователем, а, например, закачан на машину через NETBUS (как ломать через NetBus, ты сможешь прочитать в следующем номере) или BackOrfice или что-то в этом роде, имеется версия, которая не выдает при запуске никаких сообщений.

Под конец будет запущена та самая неприметная копия программы из директории виндов, чтобы троян мог сразу приступить к выполнению своих непосредственных шпионских обязанностей.

Step 2

«Куда это

меня скачали?»

Наш Троян нацелен на нахождение логинов и паролей доступа в Интернет и WWW серверам. Каждую секунду программа проверяет, есть ли связь с Интернетом. Как только коннект установлен, начинается сбор данных. Для начала составляется список имеющихся соединений и их параметров (телефоны, DNS, имя скрипта и т.д.) с помощью API функции «RasEnumEntries» и «RasGetEntryProperties», соответственно.

Если обнаруживается, что для входа в Интернет используется стандартный виндовcкий скрипт, то не составляет проблемы, взяв путь к нему из свойств соединения, считать файл. Но такая халява встречается не часто. Если пользователю в лом каждый раз набирать логин и пароль и он поставил галочку «Сохранить пароль» («Save password»), то 95-е/98-е винды сохранят его в файле кешированных паролей с расширением PWL и с именем текущего пользователя. Наш Троян не упускает возможности поискать файлы с подобным расширением в виндовой директории. Алгоритм получения списка паролей/логинов из подобного файла при наличии имени пользователя и его пароля на вход в винды давно известен. Этот алгоритм реализован в программе PWLHACK. Но есть способ и получше. Дело в том, что одна всеми любимая фирма, известная специалистам под именем MS, оставила в виндах функцию, с помощью которой можно получить список кешированных паролей для текущего пользователя вне зависимости, есть ли у пользователя пароль на вход в винды или нет. Естественно, данная функция нигде не упоминается, она не документирована. Находится она в неприметном файле mpr.dll и называется «WnetEnumCached Passwords». С ее помощью наш троян получает список логинов/паролей текущего пользователя.

Содержание  Вперед на стр. 001-098-2

загрузка...
Cпец Хакер #075Cпец Хакер #074Cпец Хакер #073Cпец Хакер #072Cпец Хакер #071Cпец Хакер #070Cпец Хакер #069Cпец Хакер #068Cпец Хакер #067Cпец Хакер #066Cпец Хакер #065Cпец Хакер #064Cпец Хакер #063Cпец Хакер #062Cпец Хакер #061Cпец Хакер #060Cпец Хакер #059Cпец Хакер #058Cпец Хакер #057Cпец Хакер #056Cпец Хакер #055Cпец Хакер #054Cпец Хакер #053Cпец Хакер #052Cпец Хакер #051Cпец Хакер #050Cпец Хакер #049Cпец Хакер #048Cпец Хакер #047Cпец Хакер #046Cпец Хакер #045Cпец Хакер #044Cпец Хакер #043Cпец Хакер #042Cпец Хакер #041Cпец Хакер #040Cпец Хакер #039Cпец Хакер #038Cпец Хакер #037Cпец Хакер #036Cпец Хакер #035Cпец Хакер #034Cпец Хакер #033Cпец Хакер #032Cпец Хакер #031Cпец Хакер #030Cпец Хакер #029Cпец Хакер #028Cпец Хакер #027Cпец Хакер #026Cпец Хакер #025Cпец Хакер #024Cпец Хакер #023Cпец Хакер #022Cпец Хакер #021Cпец Хакер #020Cпец Хакер #019Cпец Хакер #018Cпец Хакер #017Cпец Хакер #016Cпец Хакер #015Cпец Хакер #014Cпец Хакер #013Cпец Хакер #012Cпец Хакер #011Cпец Хакер #010Cпец Хакер #009Cпец Хакер #008Cпец Хакер #007Cпец Хакер #006Cпец Хакер #005Cпец Хакер #004Cпец Хакер #003Cпец Хакер #002Cпец Хакер #001