Электронная библиотека
Хакер
NetBus - троянец-игрушка!
Xakep, номер #00, стр. 00-030-2
«А если какой-то гад засунул этот твой НетБас на мою машину?» - спросишь ты. А вот тогда тебе нужно в любой момент времени посмотреть список текущих соединений, и если кто-то на твоей машине уже полчаса треплется с порта 12345, - значит, у тебя ночует НетБас. Проверить текущие соединения легко - для этого запусти netstat.exe в командной строке. И эта прога тебе все покажет: кто, когда, с кем, во сколько, сколько заплатил и что он ел на завтрак.
Ну и самый простой и надежный способ - исследовать свой registry. Для этого достаточно запустить regedit.exe. В разделе HKEY_CURRENT_USER есть подраздел PATCH. И если ты сам не играл с сервером НетБаса, значит им у тебя поиграл кто-то другой, или ты сам, о том не подозревая, его установил ;-).
Гораздо более профессионально и продуманно сработан БэкОрифис. Приведу два примера.
Первый - протокол связи. Описанным выше способом отслеживаются сеансы связи NetBus, но не Back Orifice, потому как он не пользуется телефонной связью (TCP). Как же он держит связь, если не через телефон, возникнет законный вопрос. А очень просто - через пейджер (протокол UDP). Как видно из аналогии, подобная связь менее удобна, при ней нет соединения как такового. То есть ты посылаешь сообщение и не знаешь, получил ли его абонент. (Может он сейчас в метро ;-) Более того, посылаемые UDP пакеты шифруются. В отличие от НетБаса, который общается открытым текстом.
Второй - открытый интерфейс. БэкОрифис предусматривает использование плагинов (plug-in). Чтобы добавить функцию, которая не была включена в стандартный набор, достаточно написать плагин в виде ДЛЛ и в нем ее реализовать. Спецификации прилагаются. Не так уж сложно для программиста средней руки. Зато какое поле для фантазии и экспериментов над чужими машинами!
Но хватит теории - перейдем к практике. Посмотрим, как можно побаловаться с НетБасом и даже хакнуть его «подручными» средствами, пользуясь ламерским программным исполнением оного. Для данной лабораторной работы нам понадобится НетБас до версии 1.70 и программа telnet.exe (входит в стандартный набор Windows).
1. Запускаем «patch.exe /noadd »
2. Запускаем telnet.exe
Опция noadd говорит серверу НетБаса не прописывать себя в автозагрузку виндов, а сработать одноразово. (Надеюсь, ты не хочешь сам себя заразить трояном?)
Теперь надо связаться с засевшим у тебя на компе агентом. Если помнишь, он ждет на порте 12345. В программе телнет выбираешь меню connect пункт Remote System. В поле hostname набираешь localhost (то есть коннектишься к собственному компьютеру), а в поле port - 12345 и давишь на пимпу connect.