Пароль "РЫБЫ-КОНЬ"

min@y (minay-tm@mail.ru)

Xakep, номер #063, стр. 063-112-1

Устанавливаем демократию в локальной сети

Обидно, когда меркантильный коллега «у другана на работе» сливает из инета через 2-мегабитный шланг очередную часть «Властелина колец», прячет в утробе своего винта и не дает скопировать фильм через локалку. А может быть, требует за это материальное вознаграждение. Что делать? Выход один – негласное удаленное администрирование его тачки :).

Существует такая прога, как Remote Administrator. Ты наверняка про нее знаешь - это пакет из двух программ для удаленного администрирования компов, работающих по технологии «Клиент-сервер», и предоставляющий почти полную власть над удаленной тачкой. Например, можно посмотреть, что у удаленного юзера творится на экране, нажимать мышкой на ярлыки, запускать проги и т.д. А если раскрыть окно с изображением чужого десктопа на весь экран (батон F12), то вообще создается впечатление, что работаешь, сидя за чужим компом. Можно также вырубить или ребутнуть удаленный комп, а главное – есть доступ к любым файлам на винте (их можно копировать, удалять, переименовывать, создавать папки).

Однажды у моего знакомого на работе пошла такая мода: каждый юзверь расшаривал определенную папку на полный доступ для обмена файлами с другими юзверями, т.е. сотрудники теперь могли просто кидаться друг в друга доками и варезом. Это всеобщее разгильдяйство способствовало рождению идеи подсовывать коллегам трояна, чтобы полазить по их винтам в поисках того самого… в смысле, недозволенного и нерасшаренного.

Взгляд изнутри

Наверное, ты знаешь, что большинство виндовых прог содержат в своем коде всевозможные ресурсы, такие как иконки, курсоры, битмапы. Иногда в них содержатся еще и диалоговые окна (их описалово), звуки, видео. Самое интересное, что таким образом ты можешь прикомпилить к проге все что душе угодно, а потом юзать эти данные в Run-Time. В умах хакеров сразу возникает мысль: а почему бы не прилинковать к проге троян и, когда юзверь запустит прогу, втихую выкладывать его к юзверю на винт? Но надо еще замаскировать сам троян и его появление вообще. Каким образом? Отвлечь юзера! Внушить ему, что он запустил нормальную прогу, как это делают вири, заражающие exe-файлы.

Результатом изысканий стала следующая прога. К exe-файлу были прилинкованы:

1. Сам файл для удаленного администрирования r_server.exe, переименованный для большей скрытности в rundll32.exe и придавленный ASPack’ом (пакер exe, dll и ocx-файлов) для уменьшения размера.

2. Две dll-библиотеки и файл русификатора, которые шли вместе с системой удаленного администрирования (проверять ее работоспособность без этих файлов было в лом, так что до сих пор и не знаю, нужны они или нет).

3. Игра «Переводной дурак 2000» для отвлечения юзера: 4 картинки, exe’шник Durak.exe (символично, да? ;)) и ini-файл настроек.

Идея

Алгоритм будущей проги нарисовался сам собой и был прост как веник. Вот он:

1. Вытащить из себя и сохранить во временную директорию файлы игры, проверяя, есть ли они уже там.

2. Если игра уже загружена (определить по заголовку окна), активизировать уже запущенную игру (вытащить на передний план), а если не загружена – запустить ее.

Содержание  Вперед на стр. 063-112-2
ttfb: 3.5879611968994 ms