Способы запуска троянов
Куда надо смотреть что бы не запускать всякую гадость у себя на компьютере:
Реестр
Именно, реестр-это первое что приходит в голову.. Внимательно просматриваем ключи, если в этих разделах появилось что-то очень непонятное-разберитесь...
Большинство троянов прописываются именно в этом месте...
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]
Здесь можно присваивать различные значения ...Пример,если выбрать любой bat файл-ткнуть на него правой кнопкой и выбрать "Изменить" что запустится?Правильно- notepad.exe,однако по этим ключам можно заметить что здесь присваиваются значения при команде "Открыть", то есть запуская любой бат файл,фактически запускается троян. Строка вида C:WINDOWStroyan.exe %1 будет запускать troyan.exe ВСЕГДА если открывается bat файл, то же самое касается exe,com,hta,pif
[HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*"
[HKEY_CLASSES_ROOTcomfileshellopencommand] @=""%1" %*"
[HKEY_CLASSES_ROOTbatfileshellopencommand] @=""%1" %*"
[HKEY_CLASSES_ROOThtafileShellOpenCommand] @=""%1" %*"
[HKEY_CLASSES_ROOTpiffileshellopencommand] @=""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSESbatfileshellopencommand] @=""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSEScomfileshellopencommand] @=""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand] @=""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSEShtafileShellOpenCommand] @=""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSESpiffileshellopencommand] @=""%1" %*"
Немного об ICQ...
[HKEY_CURRENT_USERSoftwareMirabilisICQAgentAppstest]
"Path"="test.exe"
"Startup"="c: est"
"Parameters"=""
"Enable"="Yes"
В этом месте указываются ВСЕ приложения которые запускаются когда ICQ чувствует соединение с Интернетом...
[HKEY_CURRENT_USERSoftwareMirabilisICQAgentApps
Как пример скрытия настоящего расширения файла:
[HKEY_LOCAL_MACHINESoftwareCLASSESShellScrap]
@="Scrap object" "NeverShowExt"=""
В win 98 есть такая опция "Не показывать расширение для зарегистрированных типов файлов",как показывает опыт, эта опция достаточно опасна,поэтому рекомендую отключить ее... Хорошо,теперь мы видим все настоящие расширения,txt это txt,exe это exe etc... -следующий шаг,создаем файл new.txt.shs,хм... файл почему то имеет расширение txt,хотя мы явно указали shs..
Вот за скрытие shs-расширения и отвечает этот ключик...Более того, если просмотреть свойства этого файла, то он все равно будет называтся new.txt,впечатление конечно портит иконка,но я думаю что это не очень большая проблема...
autorun.inf Теперь вспомним о старой, но до сих пор непофиксенной баге- а именно autorun.inf. Хехе, действительно очень старая дырка. Напомню ее суть, кто забыл (или не знал Большинство встречалось с тем что если засунуть сидюк, то он сам запускается и так далее.. Ответственнен за это небольшой файл autorun.inf содержащий следующее:
[autorun]
OPEN=AUTORUN.EXE
Запускается файлик находящийся на CD,то есть autirun.exe... Понятно что переправить строку с autorun.exe на troyan.exe не составит труда.. Предположим что хакер имеет доступ к какому либо диску(не флопповод), он просто закидывает туда авторан,троянчика и ждет, пока кто-нибудь (желательно админ),не зайдет на этот диск....
Autoexec.bat
no comments
Win.ini
[windows]
load=troyan.exe
run=troyan.exe
System.ini
Shell=Explorer.exe file.exe
c:windowswinstart.bat
Обычный бат-файл...зато всегда запускается
c:windowswininit.ini
Да,запускается АБСОЛЮТНО не видимо для пользователя,запускаятся ОДИН раз и стирается..Используется этот файл для установки различными setup'ами
: (content of wininit.ini)
[Rename]
NUL=c:windowspicture.exe
Nul -равносильно стиранию файла...Еще раз говорю,для пользователя запуск приложения АБСОЛЮТНО незаметен...
Теперь вспомним о дырках которые были найдены сравнительно недавно-
Explorer.exe
Было обнаружено, что NT/2k почему то начинают искать explorer.exe в корне диска, то есть если злоумышленник имеет доступ к корню, он просто кладет туда трояна, который называется explorer.exe
Похожая проблема имеется и в win95/98
Правда теперь файл будет называтся win.comПо всей видимости осталось еще с 3.11.
folder.htt
Довольно часто,просматривая содержимое папок в Windows,вы обращали свое внимание на файлы типа folder.htt
Так вот,этот файл может содержать директивы т.н. active script'инга.Хм, скажет читатель,ну и что из этого?
Итак,суть дыры
Сначала локально:-
Вы под Win98 используете разграничение по пользователям,и соответсвенно у кого-то права меньше чем у Вас, что он делает? Он меняет файл folder.htt в какой либо директории на свой. Потом при заходе в директорию (если у Вас в опции Вид стоит "Показывать содержимое директории как Web")в котором лежит чужой folder.htt запускаются директивы прописанные в нем же и! ...выполнение любой команды с привилегиями зашедшего... Под Win2000 ситуация абсолютно похожая... Болгарин Georgie Guninski написал небольшой эксплойт,который запускает файл a.bat c надписью:
"Written by Georgie Guninski"
Хорошо, скажем так, сейчас достаточно редко используется Win98 в качестве мультипользовательского компьютера, и это вселяет некоторую надежду,но тут вкрадывается следующая мысль , а именно:
Удаленная атака
Что мешает атакующему закинуть подобные файлы в любой расшаренный ресурс на компьютер Вашей секретарши? (Стоит напомнить что "Просмотр в виде Web " стоит по дефолту...А Ваша фирма занимается онлайновыми транзакциями?стоит подумать...
fix:::
Хм...в принципе все это фиксится просто-достаточно просто произвести небольшие изменения,а именно отключить просмотр в виде Web Page в меню Вид.
Продолжим хит-парад
Как-то AntioX и diGriz долго обсуждали возможность такую- так как по дефолту в win включена "Не показывать расширения для зарегистрированных типов файлов", то весьма просто изменить иконку бинария на иконку желтого цвета-то есть папки, назвать файл 1 или a (чтобы файл/директория появлялись в самом начале директории) и ждать пока пользователь нажмет на эту лже-папку...Решение интересное, я с таким не сталкивался... (К сожалению, сорсов нет,так как автор пропал куда-то,программа просто открывает дефотовые admin share то есть C$ d$ etc,если администратор предварительно убил это в реестре,написать такую программу достаточно просто...Поэтому-либо пользуйтесь, либо пишите сами ;)Кстати,используется только под НТ.
И наконец-Автозагрузка
C:windowsstart menuprogramsstartup-как известно,здесь можно указать указать,какие программы надо запускать вместе с системой.Сюда можно запихнуть что угодно,просто трояна,создать lnk файл на него или reg файл, который сам добавится к определенной ветке реестра.Фантазия безгранична 8)
Эта статья предназначена только для ознакомительных целей. Ни в коем случае не реализовывайте на практике то, что Вы прочитаете, так как Вы несете полную ответственность за свои поступки в соответствии с действующим законодательством. Я не отвечаю за достоверность информации и не несу ответственности за Ваши поступки! Все что вы делаете, вы делаете на свой страх и риск!!!