Ко мне приходит довольно много писем с просьбами написать как пользоваться троянами, что такое троян и т.д. Поэтому я решил написать эту статью и охватить все вопросы касающиеся троянов: что такое троян, виды троянов, настройка, защита.

Многие называют троян вирусом, на самом деле это не так. Троян это маленькая программка с помощью которой вы в большинстве случаев можете контролировать чужим компьютером (в зависимости от трояна). Еще их называют утилитами удаленного управления, например последний продукт cDc - BO2000, они представляют как "Утилита удаленного администратирования компьютером".

Виды троянов

Трояны делятся на 3-и типа: Back Door, e-mail (Mail sender), Key Logger.

1) Back Door - Сейчас это самый распространенный вид троянов. Состоит из клиента и сервера. Сервер отправляется жертве и в дальнейшем вся работа ведется по принципу клиент-сервер, т.е. вы посылаете команды через клиента, а сервер их выполняет. В зависимости от настойки сервера и трояна вы можете ограничить доступ к серверу паролем, или поставить определенное количество человек подключенных в одно время к серверу. После подключения к серверу вы можете управлять компьютером точно также как и своим: Перезагружать, выключать, открывать CD-ROM, удалять, записывать, менять файлы. Также можно вытаскивать пароли. В общем, функций миллион, но также все зависит от самого трояна, например Sub7 имеет просто уйму функций.

2) E-mail trojan - Этот вид троянов работает по принципу отправки информации хозяину на e-mail. Кто еще не догадался то на e-mail улетают пароли практически на все, что есть на компьютере: Dial-Up, ICQ, e-mail… А троян типа "Наеби соседа" высылает даже номера телефонов провайдера, настройку DNS и т.д. Так что так. Одним словом этот вид просто занимается сбором информации и жертва даже может не знать что его пароли уже давно кому то известны, иногда он об этом догадывается только тогда, когда приходит счет от провайдера :). Этот вид в основном состоит из 2-х файлов: сам троян и файл для его конфигурирования. Но об этом чуть позже.

3) Key Logger - Принцип прост, записывает все клавиши в отдельный файл и затем он как и e-mail троян высылает этот файлик к хозяину на e-mail. На мой взгляд он самый примитивный, но хорош в использовании когда жертва при соединении с Интернетом не ставит галочку "Запомнить мой пароль".

Настройка

Далее рассмотрится настройка всех 3-х типов троянов.

1) Back Door
В основном главная цель настройки Back Door трояна нужна для получения IP адреса на e-mail, ICQ ( Sub7 также может отсылать на IRC). IP адрес нужен для того, чтобы подключиться к серверу и управлять им. Без IP адреса вы ничего не сможете сделать. К большинству троянов прилагается файл конфигурации, с помощью которого конфигурируется сервер или вы просто можете настроить сервер из самого клиента (например, в Net bus). Для получения IP вам надо указать ваш e-mail адрес (на него будет приходить IP жертвы), и указать SMTP (Simple mail transmission protocol) сервер через который будет пересылаться письмо от трояна с IP адресом жертвы. Ну здесь надо быть осторожным и сначала проверить SMTP сервер не работоспособность. На этом настройка e-mail закончена. Если возможна пересылка IP адреса через ICQ то это на много удобнее, просто укажите ваш UIN и как только жертва в сети, к вам на ICQ будет приходить IP адрес. Если ICQ уведомления в настройках сервера нет, то очень удобно использовать программку Joiner (она есть у нас, в разделе Download>Hack tools). С помощью этой программки вы сможете склеить серверную часть трояна с любым файлом, и включить уведомление по ICQ. При запуске готового результата к вам на ICQ придет IP запустившего готовый файл. Далее нужно указать порт, через который вы соединитесь с вашим сервером. Во всех троянах он выбран по умолчанию (у каждого свой), но вы можете указать любой порт. После того как вы указали порт, можно поставить пароль на ваш сервер, чтобы никто другой не смог им пользоваться. Также возможно указать количество человек подключенных к серверу в одно время. Опять же все зависит от самого трояна, у всех добавлены свои специфические настройки. После того как все настроено: e-mail, порт и т.д., надо пропатчить сам сервер. В большинстве случаев в окне настройки сервера есть кнопка (в Sub7 это например кнопка Browse, рядом с надписью server) при нажатие которой откроется окно, в котором вам нужно указать чистый сервер (всегда читайте readme файл там всегда написано какой exe файл является сервером, какой клиентом и т.д.) укажите сервер файл и жмите "Открыть" или "Open". На этом настройка сервера закончена и готовым сервером с вашими настройками будет являться файл который вы пропатчили. Теперь чтобы подключиться к вашему серверу, зайдите в клиентскую часть трояна, введите IP адрес жертвы и порт, который вы указали при настройке сервера, нажимайте Connect и вы у него в компьютере. Это были самые нужные настройки, которые есть у большинства Back Door троянов.

2) E-mail trojan
Здесь все на много проще, так как токового соединения с сервером не производиться. Здесь в настройках надо указывать только ваш e-mail, для получения паролей и т.д. и SMTP сервер для пересылки письма. Опять же проверяйте SMTP на работоспособность. Как и в случае с Back Door, после настройки необходимо пропатчить сервер.

3) Key Logger
Здесь все аналогично e-mail трояну. работает по такому же принципу - пересылка информации, так что, я повторяться не буду. Но иногда в key logger троянах, LOG файл можно также забирать по FTP (21port). Откровенно говоря это очень редкие и мало используемые трояны, и ими мало кто пользуется.

Защита

Здесь рассмотрены различные типы определение троянов, и защиты от них.

Главной защитой как ты уже догадался является AVP, так как при попытке запуска зараженного файла он блокирует доступ. А вообще надо самому думать перед тем как что то запускать и скачивать. Если к тебе по Аси вдруг постучится незнакомка и первой ее месагой будет "хочешь мою фотку?", это мне кажется, дает повод для размышлений. Или в твоем почтовом ящике ты обнаружишь письмо с программкой от Microsoft, при запуске которой ты получишь 100 баксов от дяди Билли, а если ты перешлешь ее своим друзьям, то ты получишь по 80 баксов за каждого :). В большинстве случаев трояны прописываются к тебе в реестр, и там спокойно сидят, и при запуске форточек запускаются (ты конечно же ничего не заметишь, хотя их иногда видно при нажатие клавиш ALT+CTRL+DEL). Если у тебя сидит троян, то он скорее всего может быть в следующих местах в реестре:

H_L_MSoftwareMicrosoftWindowsCurrentVersionRun
H_L_MSoftwareMicrosoftWindowsCurrentVersionRunservicesOnce
H_L_MSoftwareMicrosoftWindowsCurrentVersionRunOnce
H_L_MSoftwareMicrosoftWindowsCurrentVersionRunservices

Иногда они прописываются не под своим именем, так что будь осторожен. Запустить реестр можно из строки ПУСК, введи слово "regedit" и нажми Enter. Только если не уверен, то лучше там ничего не менять и не удалять. Троян может засесть в автозагрузку или в файлы win.ini и system.ini, в папке Windows, но это мало вероятно, хотя лишний раз проверить не помешает.

Также некоторые трояны после запуска генерируют ошибку и прописываются в папку Windows или Windowssystem под именем какой-нибудь библиотеки, либо какого-нибудь системного файла. Если ты обнаружишь зараженный трояном файл то скорее всего тебе Windows не даст его удалить. Я в таком случае пользовался своим методом (называю своим, так как про этот метод я еще нигде не читал и придумал его сам), определяешь каким трояном заражен, находишь клиентскую часть этого трояна, запускаешь ее, подключаешься сам к себе по адресу 127.0.0.1 и через клиента убиваешь сервер, после чего, зараженный файл спокойно удаляется. Этот метод плох тем, что работает только на Back Door троянах.

В заключении хотелось бы сказать, что данное руководство было написано не для того, что бы все кинулись спамить троянами кого попало, а для общей информации, чтобы знать принципы работы троянов и пути их обезвреживания. В дальнейшем копированием разрешено только после разрешения автора.

Пособие начинающему троянщику

Многие пользователи интернета ни раз сталкивались с проблемой, связанной с "прихватизированием" его интернет аккаунта, ICQ, Email'a и т.д. и задавались вопросом "как же это так получается". А вот так ! Не фига скачивать из интернета всевозможные самораспаковывающиеся архивы с порнухой , ускорители интернета, эмуляторы 3D ускорителей и другую всевозможную лабуду. Потому как зачастую это оказываются самые настоящие троянские кони ,которые только и ждут соединения с интернетом дабы отослать всю возможную информацию собранную с вашего компьютера, злобному дядьке ! :) И так данная статья посвящена тому откуда же с вашего компьютера, и главное как, можно утащить эту информацию.

* Я не даю ссылки на перечисленные программы, найдете сами, это не так уж и трудно с делать.
** Я предполагаю что читатель имеет навыки программирования.

1. Виндовс

1.1 Ну здесь я наверное повторюсь, но все таки мало ли кто еще не знает. Речь идет о Виндовс 9x. Так вот данная операционная система имеет особенность хранить пароли от "Удаленного соединения" в файле PWL. Однако это только половина беды (для пользователя) пароли там лежат в зашифрованном виде, но программеры мелкософта пре дусмотрели (спасибо им за это) скрытую или не скрытую API Функцию под гордым именем WNetEnumCachedPasswords, при вызове которой из своей программы (троянского коня) возможно получение ваших парольчиков в ОТКРЫТОМ ВИДЕ.
Описание данной функции можно найти на дисках MSDN Microsoft Development Kid. Пример применения данной функции можно увидеть с помощью программы PLWVIEW.

1.2 Также необходимо отметить что тоже самое можно сделать с помощью следующих API: RasEnumConnectionsA, RasEnumEntriesA.

1.3 Реестр Виндовс - не паханное поле для вытягивания всевозможной информации. Но к этому мы вернемся позже ( может даже в другой статье).
После всего прочитанного выше незнающий человек скажет "ЁЁЁ Куда я попал! Что же делать!". И, как правило, узнает ,что существуют такие программы как дозвонщики типа: Etype Dialer, Advanced Dialer, .... Dialer. Ставит их себе на компьютер и уже не бес покоиться о этих долбанных PWL, так как эти программы хранят все настройки в своих со бственных файлах! Но не тут то было ....

2. Диалеры

Ну что я могу сказать... Вешайтесь господа ! Открою вам один секрет .. пароли к инету в этих программах тоже расшифровываются и еще как !

2.1 Alex Dialer. Простенький диалер написанный каким-то мальцом. Все параметры от диалАпА храняться в одном файле (названия не помню, поставив эту программу себе вы легко найдете данный файл). И параметры эти там лежат в открытом виде ! То есть злоумышленнику достаточно стянуть этот файл у вас и все ваш интернет у него в кармане!

2.2 Etype Dialer. Ну это творение поинтереснее. Все настройки хранятся в файле: C:WindowsEtype.ini и пароли от соединений уже зашифрованы... но не расслабляться ! они легко расшифровываются:
Пример:
Зашифрованный пароль: abcde
фраза "abcde" в Hex Кодах представляет собой : 61h 62h 63h 64h 65h
61h - буква "a"
62h - буква "b" и т.д.
Берем эти значения и вычитаем из них число вычисляемое по формуле:
порядковый номер буквы - 1)

61h - (1-1) = 61h
62h - (2-1) = 61h
63h - (3-1) = 61h
и т.д. и обнаруживаем что расшифрованный пароль представляет из себя "aaaaa" !

2.3 Advanced Dialer. Это чудо природы хранит пароли в РЕЕСТРЕ виндовса. то есть нашему начинающему троянщику будет необходимо научиться пользоваться такими функциями как:
RegQueryValueExA
RegOpenKeyExA
RegCloseKey

ВНИМАНИЕ ! НЕОСТОРОЖНОЕ ОБРАЩЕНИЕ С РЕЕСТРОМ МОЖЕТ ПРИВЕСТИ К "ПАДЕНИЮ" ВАШЕЙ СИСТЕМЫ.
ТО ЕСТЬ ДРУГИМИ СЛОВАМИ ГОВОРЯ : "НЕ ЗНАЕШЬ - НЕ СУЙСЯ". :)

мне не удалось понять как шифрует пароли эта программа, однако для настоящего злого дядьки это не помеха !
Мы просто скопируем кусок реестра HKEY_CURRENT_USERSOFTWAREPySoftAutoConnect и поставив у себя этот самый Advanced Dialer скопируем этот кусок себе ! а потом взяв в руки програмульку "peeper" посмотрим этот пароль скрытый звездочками.