Компьютерные советы (сборник статей) - [32]

The Rat! как заявлено, программа не для кульных хакеров. Любой уважающий себя хакер может написать что-либо подобное. Прога написана на ассемблере и занимает соответственно 13 кб (ветераны программистского фронта прослезились). Не смотря на размер (уж простите, не вирусописатель я:) прога позволяет следить за нажатием клавиш в парольных окнах и консоли, отслеживает буфера обмена и ещё много чего из стандартных функций. Заявлена полная невидимость для антивирусов и программ, отлавливающих SpyWare и AdWare.

The Rat! снабжен скрепителем файлов (FileConnector), результат работы которого практически исключает детектирование в нем исходных файлов, по сигнатурам, а также текстовым редактором (StringExtractor) для удобной работы с файлом дампа, который решает проблему перекодировки в кириллицу, уборки мусора, сохраняет дамп в удобочитаемый html — файл.

Фактически запуская какую-либо версию The Rat! мы видим программу настройщик-конфигуратор (The Rat! Control Center). Результат работы настройщика — исполняемый (*.exe) файл. Данный файл и является полнофункциональным и самодостаточным клавиатурным шпионом. Его запуск приводит к установке The Rat! в системе. Впоследствии, после перезагрузки системы, программа будет продолжать свою работу. Деинсталлировать The Rat! возможно используя возможности настройщика-конфигуратора либо горячие клавиши.

Юзабилити: к полной версией Касперский отнёсся совершенно равнодушно, а вот демо заметил сразу. Дизайн… ну хакерам понравится. Безумное сочетание чёрного, красного и белого. Куча маленьких кнопочек, потыкав в которые вы найдёте Настройки (все разом в одном окне) или Лог файл. Хотя нормальный просмотр Лога отсутствует в принципе.

Даже не знаю для кого предназначена это программа: функциональности серьёзного кейлоггера ей явно не достаёт, в то же время только безумный ум отнесёт Rat к софту «для домохозяек», чем грозят многие из вышеописанных прог. Хотя для ознакомления с принципа создания кейлоггера вполне сгодится (думаю, автор вполне может предоставить исходник).

Автор: Бойцев О.М.

Источник: © компьютерная газета

Новейшие версии вредоносного ПО, которое не определяется антивирусами даже с «daily»-базами, и модификации уже существующих вредоносных программ уже давно стали «фоном» современного киберпространства. Вирусописатели всячески изощряются: сегодня уже никого не удивишь вредоносной программой, замаскированной под GPEG-файл; посещение HTML-странички может запросто обернуться подгрузкой на ваш ПК самого настоящего трояна, а выход в Интернет с SP1 — MS Blast'ом, сидящим в самом чреве вашей системы. И тут вопрос даже не в том, что количество вновь появившихся уязвимостей ПО имеет экспоненциальный рост. Тот, кто пишет вредоносное ПО, всегда на шаг впереди того, кто делает от него защиту… В рамках данной статьи на примере известнейшего трояна Back Orifice я постараюсь рассмотреть принцип и особенности работы троянских программ, затронув нестандартные методы поиска и уничтожения вредоносного ПО.

Наш герой — Back Orifice: живая легенда 8 лет спустя…

Без преувеличения будь сказано: с азартным трепетом и чувством глубокого уважения к создателям рассмотрим «анатомию» самой известной и нашумевшей в свое время утилиты — Back Orifice. Подобно тому, как засекреченные документы времен железного занавеса ныне становятся общедоступны, на справедливый суд и критику читателей автор статьи с большим удовольствием представляет сей мануал.

С чего же все началось? Наверняка история создания знаменитого BO была бы неполной без упоминания ее создателей — известнейшей хакерской группы Cult of the Dead Cow (cDc). Основанная в середине 80-х, команда с достоинством прошла огонь, воду и медные трубы и до сих пор процветает и здравствует. В 1993 г. один из участников группы — Drunkfix — создал официальный сайт в сети Интернет, после чего известность хак-группы начала распространятся не только через BBS. Большую заслугу в обретении широкой известности cDc внес один из участников группы — Ratte, — который играл роль своеобразного пресс-атташе… 1 августа 1998 г. на конференции Defcon один из членов группы Sir Dystic представил Back Orifice широкой публике. Как заявил автор, его детище — это лишь подтверждение того, насколько уязвимой может быть MS Windows.

Back Orifice работала (и работает;)) по принципу клиент/сервер и позволяла удаленно администрировать ПК, на котором предварительно установлена серверная часть… Очень скоро BO приобрела статус троянского коня: антивирусные базы пополнились записями типа BackDoor.BOrifice, Trojan.Bo… чему, собственно, удивляться особенно и не приходится, ведь BO с успехом можно использовать и для удаленного управления чужим ПК. Графический интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что-то вроде увлекательного соревнования. С выходом в свет новой версии Back Orifice 2000, которая, помимо Win95 и Win98, поддерживала Windows NT и имела открытый код, популярность «народного любимца» достигла своего апогея. Относительно BO начала высказываться и Microsoft: программа, мол, не является прямой угрозой для MS Windows и требует со стороны атакующего установки серверной части на машину жертвы. Так или иначе, а на сегодняшний день знаменитый Back Orifice классифицируется как самый настоящий троян. Согласно современной классификации (использована информация сайт не побоюсь этого слова, наш герой в базах данных различных антивирусных компаний выглядит следующим образом: Backdoor.Win32.BO.a («Лаборатория Касперского»), известен также как Backdoor.BO.a («Лаборатория Касперского»), Orifice.svr (McAfee), W32.HLLP.Clay.dr (Symantec), BackDoor.BOrifice (Doctor Web), Troj/Orifice-A (Sophos), Backdoor: Win32/BOClay (RAV), BKDR_BO.58880 (Trend Micro), Boserve-01 (H+BEDV), W32/Back_Orifice.124928 (FRISK), Win32:Trojan-gen. (ALWIL), BackDoor.BackOrifice (Grisoft), Backdoor.BackOrifice.A (SOFTWIN), Trojan.Bo (ClamAV), Trj/BOr (Panda), Back_Orifice.Dropper (Eset).