Керівництво по троянам для початківців

До мене приходить досить багато листів з проханнями написати як користуватися троянами, що таке троян і т.д. Тому я вирішив написати цю статтю і охопити всі питання, що стосуються троянів: що таке троян, види троянів, настройка, захист.

1) Back Door - Зараз це найпоширеніший вид троянів. Складається з клієнта і сервера. Сервер відправляється жертві і надалі вся робота ведеться за принципом клієнт-сервер, тобто ви посилаєте команди через клієнта, а сервер їх виконує. Залежно від настоянки сервера і трояна ви можете обмежити доступ до сервера паролем, або поставити певну кількість осіб підключених в один час до сервера. Після підключення до сервера ви можете управляти комп'ютером так само як і своїм: Перезавантажувати, вимикати, відкривати CD-ROM, видаляти, записувати, змінювати файли. Також можна витягувати паролі. Загалом, функцій мільйон, але також все залежить від самого трояна, наприклад Sub7 має просто безліч функцій.

Далі розглянемо настройка всіх 3-х типів троянів.

Тут розглянуті різні типи визначення троянів, і захисту від них.

Головною захистом як ти вже здогадався є AVP, так як при спробі запуску зараженого файлу він блокує доступ. А взагалі треба самому думати перед тим як щось запускати і завантажувати. Якщо до тебе по Асі раптом постукає незнайомка і першої її месагі буде "хочеш мою фотку?", Це мені здається, дає привід для роздумів. Або в твою скриньку ти виявиш лист з програмою від Microsoft, при запуску якої ти отримаєш 100 баксів від дядька Біллі, а якщо ти перешлеш її своїм друзям, то ти отримаєш по 80 баксів за кожного. У більшості випадків трояни прописуються до тебе в реєстр, і там спокійно сидять, і при запуску кватирок запускаються (ти звичайно ж нічого не помітиш, хоча їх іноді видно при натискання клавіш ALT + CTRL + DEL). Якщо у тебе сидить троян, то він швидше за все може бути в наступних місцях в реєстрі:

Іноді вони прописуються не під своїм ім'ям, так що будь обережний. Запустити реєстр можна з рядка ПУСК, введи слово "regedit" і натисни Enter. Тільки якщо не впевнений, то краще там нічого не міняти і не видаляти. Троян може засісти в автозавантаження або в файли win.ini і system.ini, в папці Windows, але це мало ймовірно, хоча зайвий раз перевірити не завадить.

Посібник починаючому троянщіку

* Я не даю посилання на ці програми, знайдете самі, це не так вже й важко з робити.
** Я припускаю що Новомосковсктель має навички програмування.

1.1 Ну тут я напевно повторюся, але все таки мало хто ще не знає. Йдеться про Віндовс 9x. Так ось ця операційна система має особливість зберігати паролі від "Видаленого з'єднання" в файлі PWL. Однак це тільки півбіди (для користувача) паролі там лежать в зашифрованому вигляді, але програмісти мелкософта пре дусмотрелі (спасибі їм за це) приховану або не приховати API Функцію під гордим ім'ям WNetEnumCachedPasswords, при виклику якої зі своєї програми (троянського коня) можливе отримання ваших парольчіков в ВІДКРИТОМУ ВИГЛЯДІ.
Опис даної функції можна знайти на дисках MSDN Microsoft Development Kid. Приклад як скористатися цією функцією можна побачити за допомогою програми PLWVIEW.

1.2 Також необхідно відзначити що те ж саме можна зробити за допомогою наступних API: RasEnumConnectionsA, RasEnumEntriesA.

Ну що я можу сказати. Вішайтесь панове. Відкрию вам один секрет. паролі до інету в цих програмах теж розшифровуються і ще як!

2.1 Alex Dialer. Простенький діалер написаний якимось хлопчиком. Всі параметри від діалап зберігаються в одному файлі (назви не пам'ятаю, поставивши цю програму собі ви легко знайдете даний файл). І параметри ці там лежать у відкритому вигляді. Тобто зловмисникові досить стягти цей файл у вас і все ваш інтернет у нього в кишені!

2.2 Etype Dialer. Ну це творіння цікавіше. Всі налаштування зберігаються в файлі: C: WindowsEtype.ini і паролі від з'єднань вже зашифровані. але не розслаблятися. вони легко розшифровуються:
приклад:
Зашифрований пароль: abcde
фраза "abcde" в Hex коди є. 61h 62h 63h 64h 65h
61h - буква "a"
62h - буква "b" і т.д.
Беремо ці значення і віднімаємо з них число обчислюється за формулою:
порядковий номер літери - 1)

61h - (1-1) = 61h
62h - (2-1) = 61h
63h - (3-1) = 61h
і т.д. і виявляємо що розшифрований пароль вдає із себе "aaaaa"!

2.3 Advanced Dialer. Це чудо природи зберігає паролі в РЕЄСТР Віндовс. тобто нашому починаючому троянщіку буде необхідно навчитися користуватися такими функціями як:
RegQueryValueExA
RegOpenKeyExA
RegCloseKey

УВАГА. Необережне поводження з реєстру може призвести до "падіння" ВАШОЇ СИСТЕМИ.
ТОБТО ІНШИМИ СЛОВАМИ КАЖУЧИ. "НЕ ЗНАЄШ - не лізь".

мені не вдалося зрозуміти як шифрує паролі ця програма, проте для справжнього злого дядька це не перешкода!
Ми просто скопіюємо шматок реєстру HKEY_CURRENT_USERSOFTWAREPySoftAutoConnect і поставивши у себе цей самий Advanced Dialer скопіюємо цей шматок собі. а потім взявши в руки програмульку "peeper" подивимося цей пароль прихований зірочками.