Про трояни новачкам - новачкам - Каталог статей
Рідкісна людина, що має відношення до IT, не стикалася з троянами. За ідеєю, вже давно настав час перестати вестися на трюки, на кшталт HotPics.jpg. exe, ан ні, запускаємо "патчі для Експлорера" та "плагіни для Вінампа", не кажучи вже про "крякерів інтернету". Набридло. Читай мануал і будь у всеозброєнні.
Знаєш, яку помилку зробив Карл Лінней, коли намагався поділити рослини на кілька класів? Він об'єднував їх не за будовою, а на вигляд: тут квіти з п'ятьма тичинками, тут - з чотирма і т.д. Хм, щось я в біологію вдарився:). Ну, та гаразд. Сучасна наука ділить живий світ на групи, виходячи з внутрішньої будови істот. Але якщо міркувати подібним чином про цифрові форми життя, виникають проблеми, оскільки з погляду користувача, тобто. на вигляд, всі ці форми однакові і мають вигляд виконуваних файлів. А класифікуючи електронні сутності за внутрішнім будовою, отримаємо показану вище систему антивірусників, яка не відрізняється наочністю і досить незручна. Тому ми по-старому ділитимемо фауну Мережі всього на три групи - віруси, черв'яки і трояни. Але перш ніж приступати до докладного розгляду останніх, розберемося на відмінності цих форм життя один від одного.
Вірус, хробак чи троян?
Отже, віруси. Основна ознака – віруси заражають файли. І забудь про шкідливі віруси - більшість із них написана озлобленими одинаками; рідкісна VX-група релізує віруси на кшталт CIH, тобто. з "деструктивним корисним навантаженням", як вони це називають. Адже віруси для справжнього вірмейкера – це мистецтво, музика. Навіщо ж псувати мелодію криками безневинних жертв? Повторюся, я говорю про справжніх вірмейкерів, яких сьогодні не так багато, а не про тих індивідуумів, що копіюють чужі роботи з єдиною метою - покрасуватися ввірусної десятки Касперського. І повір мені, ніхто зі справжніх вірмейкерів не випускає свої твори далі за свій гвинт у вигляді, відмінному від вихідних.
Черв'яки. Основна ознака – не заражають файли, а просто влаштовують собі десь на гвинті приховану резиденцію і звідти розсилають себе на інші машини. Щоб створити ефективний вірус, потрібно чудово розбиратися в операційній камері, під яку ти пишеш, розбиратися в усіх тонкощах асемблера (і не говори мені про віруси на Сі) і, до того ж, дуже бажаний певний склад розуму. А знаєш, на чому написана більшість сьогоднішніх хробаків? Visual Basic та VBScript. Тепер розумієш, чому їх так багато? Щоправда, серед черв'яків іноді трапляються дуже гідні екземпляри, але це швидше виняток, ніж правило. Отже, якщо сила вірусів - як код, то черв'яки - у кількості інфікованих машин. На малюнку це показано дуже наочно.
Нарешті дісталися і троянів. Все-таки справжніх вірмейкерів - ідейних і шляхетних - небагато, тому і віруси, і черв'яки найчастіше несуть у собі деструктивний елемент. Навіть ті віруси, чиє корисне навантаження вичерпується виведенням напису на екран, можуть зіпсувати користувачеві чимало нервів, що вже говорити про більш небезпечні віруси. Так ось основна ознака трояна полягає в тому, що це лише інструмент, а спосіб його застосування - справа друга. Одна людина може написати троян виключно з освітньою метою, вивчаючи мережеві протоколи, а інша використовувати цей троян з метою, м'яко кажучи, не зовсім законних :). Ось з цими дволикими сутностями ми і будемо розбиратися весь час (вірніше, місце). І перше, що необхідно запам'ятати – є два типи троянів: мейлери та бекдори.
Для початку треба влаштуватися в системі, не викликавши підозру жертви. Погодься, дивно, коли патч для Аутлука не патчить Аутлук? Цьому має бути логічне пояснення. Тут методів маса: від примітивних "msmustdie.dll not found" і "already patched", до вишуканого методу, коли виводиться віконце установки "патча", а після її завершення відкривається readme зі списком помилок :). А в цей час троян копіює себе кудись у %windir%system і спокійно приступає до обробки системи. Спочатку йому необхідно прописатися в автозавантаженні. Знову ж таки, способів купа. Відверто тупі трояни вписуються в папку "автозавантаження" або autoexec.bat. Ті, що просунуті - в win.ini і system.ini. Ну а переважна більшість прописується в реєстрі в наступних місцях:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices HKEY_LOCAL_MACH
Освоївшись у системі, троян починає збирати дані. Низькокласні особини просто відсилають на вказане мило файли *.pwl, *.sam і т.д., наворочені ж влаштовують на гвинті жертви цілий розшифрувальний цех, відправляючи господареві вже готові паролі від усього, до чого зміг дістатись троян. Найчастіше троян записує всі натискання клавіш і щодня відправляє додому. Елементарні коні так і живуть: завантажився, одержав потрібну інформацію, відправив господареві. Трояни складніше реалізують такі речі, як періодичне самооновлення та захист від антивірусів: шифрування тощо. Найдостойніші представники мейлерів дозволяють керувати собою за допомогою e-mail команд (а також IRC, ICQ або прямого коннекту - прим. ред.). Тобто. троян періодично перевіряє певний ящик, куди господар шле інструкції,типу "PRINT "Have fun!"; DEL C:*.*; END".
Слово BackDoor означає "потаємний хід". Такий троян складається із двох частин: клієнтської та серверної. Клієнт зазвичай має гарний GUI з купою кнопок та інші навороти, бо все своє життя проводить на комп'ютері господаря, а отже, не дбає про свій розмір. Власне троян знаходиться у серверній частині. До тих пір, поки не настав час збирати і відсилати дані, алгоритми бекдорів і мейлерів збігаються: обдурити користувача, влаштуватися в %windir%system і прописатися в автозавантаженні. Але потім починаються серйозні відмінності. Зловмисник, який підіслав трояна, виходить у Мережу, запускає клієнтську частину і дивиться, чи є відгук від сервера, тобто. чи є жертва також у Мережі. Якщо відгук отримано, сервер і клієнт встановлюють зв'язок, а далі все залежить від конкретного трояна: ті, що скромніше, відкриють доступ до ворожого гвинта або ще щось у цьому дусі, а ті, що крутіше, просто віддадуть владу над усім комп'ютером. руки зловмисника: той зможе керувати комп'ютером жертви, ніби сам сидів за ним.
Тут вже відкривається простір для витонченої фантазії: можна відключити на віддаленому комп'ютері антивірус, можна поставити ще пару троянів - про всяк випадок, можна використовувати чужий комп'ютер як плацдарм для проведення мережевих атак або просто для подальшого розповсюдження троянів. Взагалі, бекдори - чудова підмога у справі перебору чи розшифровки паролів: підкинувши свій троян десятку людей, ти витратиш на це в десять разів менше часу (а якщо троянів буде сто чи тисяча?) і заразом перекладеш відповідальність на чужі плечі :).
Вірус, що розплодився на твоєму комп'ютері – це проблема, вірус, який знищив твою інформацію – це біда, але усвідомлення того, що хтось дивиться твої картинки, читає твоїлисти, і сидить в інтернеті за твій рахунок, злить набагато більше. Принаймні мене. Як не встрявати? Насамперед, почитай статтю "Правила поведінки в Мережі" у цьому номері нашого журналу. Там більш ніж докладно описано. Знаходячи в Мережі цікаві трояни для цієї статті, я насилу знайшов незаражені різними подарунками, типу вірей та інших троянів. Знаєш, як весело виглядає клієнт бекдора А, який насправді є ще й сервером трояна B? :) До речі, ось ще інформація для роздумів: пишеться троян, у його коді робиться спеціальний "чорний хід", і троян викладається в Мережу, на якийсь хацкерський сайт - "Новий крутий троян! Скачай швидше!" Народ кидається пробувати: захоплюють чужі системи, безкоштовно сидять в інеті тощо. А тим часом людина, яка написала трояна, насолоджується владою над усіма затроєними комп'ютерами. Чимось фінансову піраміду нагадує. Але оскільки користувач нині ляканий пішов, часто робиться так: разом із трояном публікуються його вихідники, мовляв, усе по-чесному. Користувач бачить файл *.cpp, заспокоюється і вляпується у великі неприємності, тому що що варто викинути з вихідника реалізацію того самого "чорного ходу"? Щоправда, товариші зі стажем у подібних справах, у таких випадках не користуються готовим екзешником, а компілюють свій із наданого вихідника. Але і для цього методу є контрзаходи: трапляється так, що ті п'ятнадцять рядків, що відповідають за потаємний хід, удень із вогнем не знайти в тисячах рядків коду трояна.
Але що робити людині, яка таки запустила "патч для Аутлука"? Чи тому, хто розкусив підставу і хоче дістатися господаря? Читати далі.
Що ми маємо: у тебе є сильні підозри, що твоя машина затроєна, і тобі треба, як мінімум, убити коня, а якщо пощастить, то й дістатись господаря.Отже алгоритм полювання на троянів!
BO2K (backdoor, розмір сервера 112 Кб, невидимий для TaskInfo в 9x)
Тільки не кажи, що не чув про нього. Я не хотів включати в статтю опис таких відомих троянів, як NetBus або GirlFriend, але оминути мовчанням BackOrifice я просто не міг. Найкрученіший бекдор з усіх, що я бачив. Єдиний із перелічених у цьому розділі троянів, який зміг сховати свій процес від TaskInfo. Про BO2K можна написати не одну статтю: гнучке конфігурування, різні способи шифрування, кілька десятків плагінів, Linux-версія – цим список переваг BackOrifice не вичерпується. Але рекомендувати цей троян для використання я не можу через один-єдиний недолік, який зводить нанівець всі його переваги. Справа в тому, що BackOrifice настільки поширений і відомий, що наука не знає антивіруса, нездатного його виявити. Хлопці з CultDeadCow намагалися виправити це, релізуючи плагіни, покликані приховувати BO від конкретних антивір, але в цілому ситуація не змінилася, і сьогодні BackOrifice2000 – відмінний інструмент для віддаленого адміністрування, але ніяк не троян.
Нае@і сусіда (mailer, розмір сервера 13 Кб, бачимо для TaskInfo) Цей мейлер користується в Україні особливим успіхом, я б навіть сказав, що це наш національний троян. Елементарно налаштовується, просто використовується. Примітний також невеликий розмір сервера, так що троян можна непомітно приєднати до іншої програми. Одним словом, народний вибір: знань не потрібно жодних, ефективність висока.
Anti-Lamer Light (mailer, розмір сервера 24 Кб, бачимо для TaskInfo)
Простенький поштовий троян, обіцяє вирубувати відомі йому антивіруси та фаєрволи. Через конфігуратор сервер можна склеїти з іншим файлом. Це "полегшенаверсія" трояна Anti-Lamer Backdoor, який має кілька цікавих можливостей, але, звичайно, і в підмітки не годиться BO.
FurierTrojan (mailer, розмір сервера 38 Кб, бачимо для TaskInfo) Хм. Великий сервер, відсутність можливостей для конфігурації (налаштовується тільки електронною поштою), визначається TaskInfo. Коротше кажучи, не є наш вибір.
GROB (backdoor/mailer, розмір сервера 49 Кб, бачимо для TaskInfo)
Повноцінний мейлер із деякими можливостями бекдору. Самозахист – мінімальний, алгоритм роботи – стандартний, сервер – великий. Єдиною перевагою перед побратимами є приємний інтерфейс клієнта:).