"Тому, кто первым приходит на поле
сражения и ожидает врага, будет легко ..."
Сунь Цзы
В данной части текста речь пойдёт об удалённом статическом оружии. К данному
виду вирусного оружия можно отнести некоторую часть троянских коней и
backdoor'ов. Почему некоторую? Потому, что все программное обеспечение, доступное
общественности, называться вирусным оружием просто не имеет права. Так и после
публикации данного текста все программы приведённые в качестве примеров
вирусного оружия таковыми быть перестанут.
В чём же цель использования удалённого статического вирусного оружия?
Цель заключается в том, чтобы не только выполнить заранее какие-то
запрограммированные действия, но и позволить взломщику манипулировать данными
и программами на подчинённом компьютере.
Теперь перейдём к определению того, что вирусное оружие должно уметь:
1) Запускаться вместе с системой
2) Слушать и отвечать на взаимодействие по определённому порту
Первый пункт мы реализуем за счёт копирования в директорию WINDOWS, а так же
мы пропишем данную программу в реестре на автозагрузку.
Второй пункт будет реализовываться за счёт открытия слушающего сокета на 321
порту.
Мы сделаем нашу программу совместимой со всеми системами Windows, кроме 16
битных версий. Для этого мы не будем редиректить полученные команды через
именованные каналы на "cmd.exe". Мы этого делать не будем потому, что
у Windows 98/ME, такого командного интерпретатора нет. Мы всё сделаем с нуля
при помощи WIN API.
Исходники третьей
части: t_back.asm
На момент написания текста данный backdoor антивирусами не обнаруживался, но
я бы не рекомендовал его использовать, так сказать, "нагишом". Я бы советовал
запаковать его Armadillo или Telock. Это бы обезопасило от определения по
текстовым строкам. Вот представьте себе ситуацию
- отправляется данная программа по почте с рассказом, что это супер демо. А получатель берёт и просматривает
текстовым редактором этот файл и сразу в уме дизассемблирует, несколько позже
начинает опять же таки в уме эмулировать инструкции х86 ....
Так, что-то меня не туда понесло, и при помощи текстового редактора он видит:
"...Welcome to Backd00r for Win..." и что вы думаете после этого он эту
программу когда-то запустит?
Для чего же ещё можно использовать данную программу
- ну конечно для удалённого администрирования системы. Но для надёжности в неё необходимо будет добавить
парольную идентификацию.
Это всё конечно хорошо, но как с этим бороться, как от backdoor'ов защититься?
Существует несколько способов:
1) Не запускать программ из непроверенных источников, а из проверенных источников программу лучше трижды перепроверить перед запуском.
2) Правильно настроить firewall, это позволит запретить все входящие соединения
и исходящие с ненужных портов, которые могут использоваться backdoor'ами.
3) Самому регулярно проводить инспекцию всех портов и исходящих соединений
Но лучше всего использовать все описанные выше три способа одновременно.