Электронная библиотека

Хакер


Хакер 2/1999

Как стать рабовладельцем в Сети.

Xakep Online -> Журнал, номер #002, стр. 002-030-2


Если обнаруживается, что для входа в Интернет используется стандартный виндовcкий скрипт, то не составляет проблемы, взяв путь к нему из свойств соединения, считать файл. Но такая халява встречается не часто. Если пользователю в лом каждый раз набирать логин и пароль и он поставил галочку "Сохранить пароль" ("Save password"), то 95-е/98-е винды сохранят его в файле кешированных паролей с расширением PWL и с именем текущего пользователя. Наш Троян не упускает возможности поискать файлы с подобным расширением в виндовой директории. Алгоритм получения списка паролей/логинов из подобного файла при наличии имени пользователя и его пароля на вход в винды давно известен. Этот алгоритм реализован в программе PWLHACK. Но есть способ и получше. Дело в том, что одна всеми любимая фирма (назовем ее условно МайкроСакс, чтобы не порочить доброе имя :)) оставила в виндах функцию, с помощью которой можно получить список кешированных паролей для текущего пользователя вне зависимости, есть ли у пользователя пароль на вход в винды или нет. Естественно, данная функция нигде не упоминается, она не документирована. Находится она в неприметном файле mpr.dll и называется «WnetEnumCachedPasswords». С ее помощью наш троян получает список логинов/паролей текущего пользователя.

Step 3 "А теперь я все о тебе расскажу хозяину"

Cобранные разведданные отправляются владельцу не просто, а очень просто - по почте. Чтобы отправить письмо, необходимо связаться с почтовым сервером по протоколу STMP. Подобных серверов множество. У каждого уважающего себя провайдера есть свой сервер. Но связываться с такими серверами не стоит. Они весьма капризны и могут отказать в посылке письма, если текущий IP адрес принадлежит другому провайдеру. Надежнее использовать нейтральный сервер. Не стоит связываться с некоммерческими, типа тех, что стоят в штатовских университетах. Они имеют тенденцию закрываться без предупреждений, т.к. никому ничего не обязаны. Лучше всего использовать STMP серверы больших почтовых сайтов типа HotMail или USAnet. Они могу потребовать только, чтобы обратный адрес принадлежал данному серверу. Поэтому, когда будешь конфигурить Троянца под себя, вводи адрес SMTP сервера - «pop.netaddress.com» , предварительно создав себе почтовый ящик на Usa.net. После того как данные собраны, наш троян проверит, отсылались ли данные. Если нет - то данные отсылаются и сохраняются в регистре. Если уже отсылались, то из регистра извлекается предыдущее письмо и происходит сравнение с текущим. Если произошли какие-либо изменения (например, у юзера новый акаунт в Интернет появился), то письмо отсылается, и в регистре записываются свежие данные о паролях.

Письмо включает в себя описанные выше данные. Скрипты и PWL-файлы добавляются как вложения в письмо.«Апгрейди меня!»

В последнее время появился новый признак хорошего тона - программа должна сама проверять, не выпустила ли фирма-производитель новую версию своего программного продукта, и если сие чудо произошло, то предлагать скачать свежую версию. Наш Троян не исключение. Только он скачивает апгрейд и запускает его, не спрашивая на то разрешения :). Апргрейд в данном случае скачивается не с сайта, а с обычного бесплатного почтового сервера. Т.е. программа "проверяет почту" на определенном сервере и, если обнаруживает письмо с определенным заголовком, скачивает его, распаковывает вложенный в письмо апгрейд и запускает его. Апгрейд деинсталлирует текущую версию программы (завершает работу текущей копии, чистит регистри и убивает программу из виндовой директории) и после инсталлирует себя.

Назад на стр. 002-030-1  Содержание  Вперед на стр. 002-030-3