R02A (3)

[ Pobierz całość w formacie PDF ]
.Współpracuje z Windows 95 i 98.Dysponuje jedyniekilkoma standardowymi opcjami:f& Chat uruchomienie CHATA między serwerem a komputerem włamywacza;f& Send KeyStrokes wysłanie kombinacji klawiszy;f& ICQPassJack zdobycie hasła ICQ;f& Run Application uruchomienie aplikacji na serwerze;f& Send Msg wyświetlenie na serwerze okna dialogowego z dowolnąinformacją;f& Hide Taskbar ukrycie paska zadań;f& Disable Ctrl-Alt-Del wyłączenie kombinacji Ctrl+Alt+Del;f& Ping Pong Virus wyświetlenie na serwerze piłeczki pingpongowejodbijającej się od krawędzi ekranu;f& Reboot resetowanie komputera ofiary;f& Run Screensaver włączenie wygaszacza ekranu;f& Show Shutdown Menu uruchomienie procedury zamknięcia systemu.Sposób usunięcia z systemu:SK Silencer jest wykrywany przez markowe programy antywirusowe.Można usunąćgo ręcznie, gdyż SK Silencer nie ma opcji pozwalającej na zainstalowanie się w Reje-strze Systemowym.Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedystandardowa procedura i wszystko zależy od jego inwencji).Należy się wystrzegaćplików z ikoną i rozmiarem, jaki miały te przedstawione wyżej.Po odkryciu naswoim dysku opisanego serwera należy uruchomić program regedit.exe i znalezćwpis będący ścieżką dostępu do serwera, a następnie usunąć go, zresetować kom-puter i wykasować z dysku konia trojańskiego.StealthSpyC:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 157158 Hakerzy.W przeciwieństwie do większości koni trojańskich StealthSpy nie jest anonimowy.Jego twórcą jest człowiek nazwisku Andrei Birjukov.I chociaż programy rosyj-skich twórców należą do czołówki najlepszych, to jednak ten pozostawia wiele dożyczenia (chociaż sam autor zastrzega, że jest to dopiero wersja BETA 3).Tak sięzłożyło, że zdobyłem wersję roboczą, w której istnieje wiele białych plam , a uży-cie niektórych opcji kończy wykonywanie programu poprzez jego wyłączenie.Nie-obce są również komentarze odautorskie pokazywane przez aplikację zamiast ocze-kiwanych funkcji.Mimo tych niedociągnięć należy spodziewać się kolejnego, ale na szczęście niezbyt groznego konia trojańskiego.W wersji BETA 3 składa się onz następujących plików: serwera o nazwie telserv.exe (235 520 b), biblioteki tserv.dll,pliku wsadowego doscmd.bat odpowiedzialnego za wykonywanie komend dosowych,klienta telman.exe (137 216 b), który wymaga biblioteki MSVBVM50.DLL oraz plikuMSWINSCK.OCX.Koń trojański ma następujące (ubogie) funkcje:f& Screenshot (zrzut ekranu);f& Menedżer plików (kopiowanie plików na i z serwera);f& Uruchamianie komend dosowych;f& Zamykanie aplikacji;f& Wyświetlanie na serwerze okienka dialogowego;f& Zresetowanie komputera ofiary.Sposób usunięcia z systemu:StealthSpy nie jest wykrywany przez programy antywirusowe.Usunięcie ręcznejest możliwe, ponieważ StealthSpy nie ma opcji pozwalającej na zainstalowanie siędo Rejestru Systemowego.Włamywacz musi więc dokonać tego ręcznie (nie ist-nieje wtedy standardowa procedura, wszystko zależy od jego inwencji).Jest to je-dyny koń trojański, którego serwer jest widoczny po wciśnięciu kombinacji klawiszyCtrl+Alt+Del.Po odkryciu na swoim dysku opisanego serwera należy uruchomić re-gedit.exe i znalezć wpis (jeśli takowy istnieje) będący ścieżką do serwera, a następnieusunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.GateCrasher 1.1GC jest narzędziem napisanym w całości w języku Visual Basic.Znani są dwaj jegotwórcy, którzy ukrywają się pod pseudonimami: KillBoy i ExCon.Program ten jestjedynym koniem trojańskim, który może infekować komputer ofiary na dwa sposoby:klasycznie jako aplikacja lub w sposób bardziej wyrafinowany, gdy dostarczanyjest jako dokument MS Word (w wersji 97) z makrem.Będąc podłączonym do In-ternetu lub pracując w sieci lokalnej użytkownik jest narażony na kontakt z aplikacją,która przejmuje kontrolę nad takimi platformami, jak: Windows 95, 98 i NT.Zara-żony dokument można więc otrzymać na wiele sposobów może on być dołączonydo e-maila, może być powszechny na IRC i w CHAT ROOMach, a także zdarza musię wykorzystywać dziury w popularnych przeglądarkach internetowych.Do-myślnie instaluje się na porcie 6969, ale może korzystać z każdego innego.158 C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.docRozdział 2.f& Hakowanie systemu 159W skład programu wchodzą następujące pliki:f& TCP.exe plik wspomagający TCP/IP;f& Port.dat plik z danymi serwera, który może przybrać nazwę Port.exe lubPort.doc w zależności od sposobu instalacji na komputerze ofiary;f& GC.exe klient;f& Cleaner.exe program usuwający serwer z systemu;f& MsWinsck.ocx kontrolka Winsock ActiveX używana do komunikacji przezprotokół TCP/IP pomiędzy serwerem a klientem;f& MSVBVM60.DLL biblioteka Visual Basic 6.0 Enterprise;f& Inet.drv agent wykrywający połączenie, który otwiera serwer.Dostępne opcje to:f& Clear Recent Folder kasowanie foldera RECENT (z ostatnio uruchomionymidokumentami);f& Close CD zamykanie CD-ROM-u;f& Close The Server zamykanie serwera;f& Close Windows zamykanie sesji Windows;f& Crazy Mouse Start przejęcie kontroli nad myszką użytkownika;f& Crazy Mouse Stop przywrócenie kontroli nad myszką użytkownika;f& Delete Directory kasowanie katalogu;f& Delete File kasowanie pliku;f& Fill Drive zapełnianie dysku (tworzy na nim pliki);f& Format Drive formatowanie dysku;C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 159160 Hakerzy [ Pobierz całość w formacie PDF ]

Tematy