Здесь Вы найдете описание самых распространенных троянов сможете изучить их методы проникновения в компьютер и а также узнаете какие деструктивные методы несет в себе тот или иной троян. Trojan.BAT.Simpsons
Примитивный троянец, написанный на командном языке DOS (т.е. является BAT-файлом). При запуске уничтожает все файлы на дисках C:, A:, B:, D: (именно в такой последовательности); использует при этом DOS-команду "DELTREE /Y". Затем троянец уничтожает на тех же дисках файлы SIMPSONS.* (непонятно зачем - все файлы уже и так уничтожены). Троянец был обнаружен "в диком виде". Он распространялся неизвестным злоумышленником в виде инсталлятора SIMPSONS (формат: самораспаковывающийся архив WinZip). При запуске инсталлятор выводи стандартное сообщение WinZip, распаковывает троянца и запускает его на выполнение.
Backdoor.Antilam, семейство
Семейство троянских программ, позволяющих удалённо управлять компьютером-жертвой через локальную сеть или Интернет. Большинство из функций троянца настраиваются с помощью специальной программы - "редактора сервера". Программа-"клиент" предоставляет злоумышленнику удобный графический интерфейс для управления компьютером-жертвой.
Основной компонент троянца является приложением Windows, написан на Delphi и упакован UPX. Размер файла зависит от версии троянца.
После запуска троянец обычно создаёт свою копию в корне или подкаталогах директории Windows, и настраивает свою копию для автоматического запуска при старте Windows.
Команды удалённого управления позволяют выполнять на компьютере-жертве следующие функции:
*
удалять или перезапускать троянскую программу
*
получать информацию о компьютере или его владельце
*
открывать или закрывать CD-ROM привод
*
изменять содержимое рабочего стола
*
отключать, замедлить или ускорить движение мыши
*
показывать заданное злоумышленником сообщение
*
управлять открытыми окнами
*
перезагружать или отключать компьютер
*
изменять системную дату
*
отключать клавиатуру
*
управлять файлами на дисках жертвы
*
изменять системный реестр
*
изменять разрешение экрана
*
сохранять информацию о нажатиях клавиш жертвы
*
выводить на принтер заданные тексты
*
изменять цветовые схемы оформления Windows
*
управлять соединениями удалённого доступа
* управлять содержимым буфера обмена
* обмениваться сообщениями с другими злоумышленниками, подключёнными к компьютеру-жертве
Backdoor.BO (aka Back Orifice Trojan)
Троянский конь BO (Back Orifice) по своей сути является достаточно мощной утилитой удаленного администрирования компьютеров в сети. "Back Orifice является системой удаленного администрирования, позволяющей пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. В локальной сети или через Internet, BO предоставляет пользователю больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера" - сказано в рекламном объявлении на одной из хакерских Web-страниц.
Единственная особенность этой программы заставляет классифицировать ее как вредную троянскую программу: отсутствие предупреждения об инсталляции и запуске. При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на троянца отсутствует в списке активных приложений. В результате "пользователь" этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Троянец распространяется как пакет из нескольких программ и документации. Все программы написаны на C++ и компилированы Microsoft Visual C++. Все программы имеют формат Portable Executable и могут выполняться только в среде Win32.
Основной программой в пакете является BOSERVE.EXE (затем этот файл может быть обнаружен под различными именами) - это основная "серверная" компонента троянца, которая ждет вызовов от удаленных "клиентов".
Вторым файлом является BOCONFIG.EXE, конфигурирующая "сервер" и позволяющая "прикрепить" BOSERVE.EXE к каким-либо другим файлам (как это делают вирусы). При запуске таких приложений вирус "выкусывает" их из зараженного файла и запускает на выполнение без каких-либо побочных эффектов.
В пакете также присутствуют две "клиентские" утилиты (консоль и графический интерфейс), они позволяют "клиенту" управлять удаленным "сервером". Еще две программы являются утилитами компрессии/декомпрессии файлов - они используются для копирования файлов с/на удаленный "сервер".
При запуске троянец инициализирует сокеты Windows, создает файл WINDLL.DLL и системном каталоге Windows, определяет адреса нескольких Windiows API, ищет свою копию в памяти и выгружает ее из памяти, если таковая обнаружена (т.е. обновляет свою версию). Затем троянец копирует себя в системный каталог Windows и регистрирует в реестре как авто-запускаемый процесс:
Backdoor.Cabrotor
Троянская программа класса "бекдор" (скрытное управление удаленными компьютерами). Является приложением Windows (PE EXE-файл), написана на Delphi.
Троянский "набор" содержит три основные EXE-файла:
CaBrONaToR.exe - клиент для управления удаленным сервером
CaBrONeDiT.exe - редактор для изменения установок сервера
8======D.exe - троянский сервер
При запуске сервер копирует себя с в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра. Имя EXE-файла сервера и ключи автозапуска могут быть различными в различных версиях сервера, например:
Имя сервера:
ASDAPI.EXE
Ключ реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
LoadPowerProfile
Затем сервер подключается к указанному IRC-каналу и ждет команд "хозяина".
Сервер выполняет следующие функции:
*
отсылает информацию о компьютере (версия Windows, тип процессора, зарегистрированное имя пользователя и т.д.)
*
открывает/закрывает CD-дисковод
*
сообщает информацию о файлах на компьютере
*
запускает указанный файл или выполняет указанную команду
*
отсылает информацию о: RAS, MS Messenger, .NET services
*
перезагружает Windows
*
принимает/отсылает указанный файл
*
выполняет DoS-атаку на указанный адрес
*
выгружает себя из системы
*
и т.д.
Backdoor.CyberSpy
Программа, представляющая собой телнет-сервер, сообщающий злоумышленнику о своем присутствии в сети по e-mail или ICQ. Имеет компоненту для настройки.
После запуска копирует себя в системный каталог Windows и регистрирует себя в системном реестре для автоматического запуска после перезагрузки системы. После этого он посылает уведомление по e-mail или ICQ (задается злоумышленником при настройке), и начинает прослушивать заданный порт протокола TCP/IP, ни чем не выдавая своего присутствия. Получив уведомление, злоумышленник с помощью любого телнет-клиента получает доступ к командной строке компьютера жертвы.
Backdoor.Death, семейство
Семейство троянских программ, позволяющих удалённо управлять компьютером-жертвой через локальную сеть или Интернет. Большинство из функций троянца настраиваются с помощью специальной программы - "редактора сервера". Программа-"клиент" предоставляет злоумышленнику удобный графический интерфейс для управления компьютером-жертвой.
Основной компонент троянца является приложением Windows, написан на Delphi и иногда упакован FSX. Размер файла зависит от версии троянца.
После запуска троянец обычно создаёт свою копию в заданной злоумышленником папке, и настраивает свою копию для автоматического запуска при старте Windows.
Команды удалённого управления позволяют выполнять на компьютере-жертве следующие функции:
*
удалять, переименовывать или перезапускать троянскую программу
*
получать информацию о компьютере или его владельце
*
открывать или закрывать CD-ROM привод
*
изменять содержимое рабочего стола
*
показывать заданное злоумышленником сообщение
*
управлять открытыми окнами
*
перезагружать или отключать компьютер
*
изменять системную дату
*
отключать клавиатуру
*
управлять файлами на дисках жертвы
*
изменять системный реестр
*
изменять разрешение экрана
*
сохранять информацию о нажатиях клавиш жертвы
*
выводить на принтер заданные тексты
*
изменять цветовые схемы оформления Windows
*
управлять соединениями удалённого доступа
*
управлять содержимым буфера обмена
*
обмениваться сообщениями с другими злоумышленниками, подключёнными к компьютеру-жертве
*
скачивать и запускать заданные злоумышленником программы из Интернет
*
показывать и управлять содержимым экрана пользователя
*
уведомлять злоумышленника, когда пользователь подключается к сети
Backdoor.DeepThroat
Троянец DeepThroat является утилитой скрытого администрирования компьютеров в сети с удаленного терминала.
Backdoor.Dest
Эта программа реализует атаку удаленного компьютера, используя для этого третий компьютер-посредника. Атака реализуется следующим образом.
Серверная часть программы засылается любым способом на компьютер "жертвы-посредника". После запуска на "жертве-посреднике" сервер ожидает подключения клиента. Злоумышленник, использую клиентскую часть, указывает серверу IP-адрес хоста, который он собирается атаковать. По его команде "жертва-посредник" посылает на указанный адрес IP-пакет размером 60000 байт. Если атакуемый компьютер работает под операционной системой Windows 95/NT без успановленных ServicePack'ов, то происходит крах его системы. Злоумышленник, таким образом, остается незамеченным, так как в качестве атакующей машины оказывается компьютер "жертвы-посредника".
Backdoor.Executor
Троянский конь Executor является утилитой скрытого администрирования компьютеров в сети с удаленного терминала. См. Backdoor.BO
Backdoor.FTP.Casus
Программа, представляющая собой FTP-сервер, сообщающий злоумышленнику о своем присутствии в сети по e-mail или ICQ.
После запуска регистрирует себя в системном реестре для автоматического запуска после перезагрузки системы и посылает уведомление по e-mail и ICQ. После этого начинает прослушивать порт 21 протокола TCP/IP, ни чем не выдавая своего присутствия. Получив уведомление, злоумышленник с помощью любого FTP-клиента получает доступ к файловой системе компьютера жертвы.
Backdoor.Farnaz
Программа, представляющая собой телнет-сервер. После запуска "прослушивает" порт 133 протокола TCP/IP, не выдавая своего присутствия. С помощью любого телнет-клиента злоумышленник получает доступ к командной строке компьютера жертвы.
Backdoor.G_Door
Использует стандартную технологию клиент-сервер и, соответственно, состоит из двух частей - клиентской и серверной. Серверная часть устанавливается на "компьютер-жертву" и управляется с удаленной машины при помощи клиентской части.
Инсталляция
При запуске сервер перемещает себя в системный каталог Windows под именем KERNEL32.EXE и правит ключи системного реестра:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] @="C:\WIN98\SYSTEM\KERNEL32.EXE"
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] @="C:\WIN98\SYSTEM\KERNEL32.EXE"
[HKEY_CLASSES_ROOTtxtfileshellopencommand] @="C:\WIN98\SYSTEM\KERNEL32.EXE %1"
[HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand] @="C:\WIN98\SYSTEM\KERNEL32.EXE %1"
Имя каталога Windows ("C:\WIN98SYSTEM") зависит от конкретной конфигурации системы.
Результатом такой регистрации в реестре является то, что сервер является гарантированно стартован при загрузке системы (первые два ключа). Плюс к тому, сервер автоматически стартует при открытии TXT-файлов (остальные ключи реестра). Таким способом сервер дублирует свой запуск, если он был принудительно выгружен из памяти компьютера.
Более того, во время своей работы сервер постоянно проверяет эти ключи реестра, и, если эти ключи исправлены (удалена ссылка на сервер), то сервер снова устанавливает их в "зараженное" состояние.
Таким образом, удаление этого backdoor-а является непростой задачей: файл-сервер KERNEL32.EXE невозможно удалить или переименовать (он активен и блокирован системой), а ключи реестра постоянно контролируются (что делает невозможным перезапуск системы с "чистым" реестром).
В Windows 95/98 избавиться от backdoor-а можно перезагрузившись в MS-DOS и удалив файл KERNEL32.EXE в системном каталоге Windows. После загрузки Windows необходимо удалить ссылки на этот файл в системном реестре. В Windows NT необходимо удалить процесс backdoor-а из памяти (kill process), чтобы стало возможным его удаление из каталога Windows и из системного реестра.
Работа сервера
Для связи с клиентской частью сервер использует порт 7626 и постоянно его "прослушивает". При соединении с клиентом сервер выполняет его команды и предоставляет контроль над компьютером-"жертвой". По командам клиента сервер может производить любые манипуляции с файловой системой "жертвы" - копирование, перемещение, удаление, создание и т.п.
Клиент
С помощью клиента можно просканировать заданную подсеть на предмет выявления запущенных серверов backdoor-а. При подключении к серверу клиент получает контроль над ресурсами "жертвы". Интерфейс клиента адаптирован к китайскому языку.
Backdoor.KWM
Троянская программа типа бекдор, позволяющий скрытно управлять зараженным компьютером. Является приложением Win32 (PE EXE-файл). Размер - около 14K.
Известно несколько версия троянца. Они распространялись с Web-сайтов под именами:
1.Photo.scr - как картинка (около 66K)
2.Sponsors_pay_WM.exe - как документ "Billing Systems'Contract for Services" (about 70K)
Эти файлы являются так называемыми "дропперами"(инсталляторами) троянца. При запуске они создают файл-троянец с именем NETCFGH.EXE в каталоге Windows,затем создают и открывают файл-"обманку" с именем C:PHOTO.JPG или C:CONTRACT.TXT.
При запуске файла-троянца NETCFGH.EXE он регистрируется в ключе авто-запуска в файле SYSTEM.INI, разрешает модему авто-набор. Для этого меняет ключ реестра:
HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionInternet Settings
EnableAutodial
Троянец затем остается в памяти Windows как скрытое системное приложение, ждет некоторое время и активизирует бекдор-процедуру. Эта процедура устанавливает соединение с FTP-сервером "хозяина" ftp://ftp.bizland.com (при этом использует специфичные имена и пароли), затем скачивает с FTP-сервера дополнительные компоненты троянца - файлы HEAK.EXE, TEEN1.EXE, TEEN2.EXE, TEEN3.EXE, которые являются клавиатурным шпионом, архиватором, и т.д.
Также с FTP-сервера скачивается смециальный CMD-файл (скрипт), содержащий команды управления бекдором. Этот скрипт затем обрабатывается троянцем, и последовательно выполняются скрипт-команды. Эти команды позволяют:
*
скачать файл с зараженного компьютера
*
положить файл на зараженной компьютер
*
выполнить файл на зараженном компьютере
*
скопировать/переместить/удалить файл
*
передать "хозяину" информацию об искользуемых логинах и паролях
Троянец также сканирует доступные диски и ищет на них каталоги системы WebMoney. В случае обнаружения таковых, троянец передает их имена "хозяину",который затем может скачать их с зараженного компьютер и получить доступ к счету жертвы.
Троянец также создает ключи в системном реестре:
HKLMSoftwareMicrosoftWindowsCurrentVersion
CmdID = %hostname% ; %hostname% -
сетевой адрес компьютера
SystemNumber = NEW_%system_date% ; %system_date%
системная дата, сконвертированная в число
и создает файлы в каталоге Windows:
BODY.LG - лог-файл (действия троянца и сообщения об ошибках)
LIST.CMD - скрипт-файл
Backdoor.Katien
Троянская программа класса "бекдор". Является приложением Windows (PE EXE-файл), имеет размер около 50K написана на Microsoft Visual C++.
При запуске регистрирует себя в секции авто-запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Имя ключа зависит от версии троянца:
TaskReg = %имя файла%
Service = %имя файла%
Затем троянец открывает интернет-соединение и ждет команд "хозяина". Выполняется достаточно ограниченный набор команд:
*
скачать файл с указанного интернет-адреса
*
запустить команду Windows или указанный файл
*
запустить DoS-атаку указанного интернет-сервера
*
завершить работу
Троянец содержит строку-"копирайт", которая зависит от версии троянца:
Voyager Alpha Force: Age of Kaiten
Kaiten Win32 API version: contem@efnet
Backdoor.Netbus
Троянский конь Netbus является утилитой скрытого администрирования компьютеров в сети с удаленного терминала. Позволяет просматривать содержимое дисков пораженного компьютера, копировать (воровать) файлы, уничтожать информацию и т.д. См. Backdoor.BO
Backdoor.Netdex
Многокомпонентная троянская программа класса "бекдор". Позволяет удаленному хакеру контролировать зараженные компьютеры. Для обеспечения контроля скачивает скрипт-программы с сайта http://www.twocom.ru, выполняет их и результат отсылает обратно на этот Web-сайт.
Основной компонентой бекдора является Java-скрипт с именем 'zshell.js'. Прочими компонентами являются:
a.com - DOS COM-файл (вспомогательный файл)
netd.exe - Win32 EXE-файл (пересылка данных)
o.js, installer.php - Java-скрипт (инсталлятор)
repost.html, sh.php - HTML-страница с Java-скриптом (дополнительный компонент)
Заражение
Происходит при посещении указанного Web-сайта. Скрипт-программа на заглавной странице получает управление, записывает на компьютер пользователя файл и запускает его. Этот файл скачивает все необходимые для функционирования бэкдора компоненты, инсталлирует их и запускает сам бекдор.
При этом используется брешь в защите виртуальной машины, исполняющей скрипты ('Microsoft ActiveX Component' Vulnerability). См. http://www.microsoft.com/technet/security/bulletin/MS00-075.asp
При запуске бекдор-скрипт регистрирует себя в секциях авто-запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Time Zone Synchronization = wscript "%Cookies folder%zshell.js"
HKCUSoftwareMicrosoftWindowsCurrentVersionRun Time Zone Synchronization = wscript "%Cookies folder%zshell.js"
Для маскировки основная Web-страница бекдора содержит тексты:
Зачем ты пришел сюда?
Для начала введем пароль
При вводе любого пароля выводится другое (нецензурное) сообщение:
Бекдор
Основной компонент бекдора представляет собой скрипт-программу на языке Java Script. Раз в минуту он скачивает со своего сайта набор команд предназначенных для этого компьютера и исполняет их. Набор команд достаточно ограничен:
*
запустить команду Windows или указанный файл
*
вывести сообщение на экран компьютера
*
обновить себя
*
отправить электронное письмо от имени этого компьютера
*
завершить работу
Технические детали
Заражение
Заражение компьютера происходит в несколько этапов.
Этап 1 - открытие зараженной Web-страницы
При запуске Java-скрипт на головной странице сайта (используя брешь в защите) создаёт следующие файлы на компьютере:
создаёт и запускает: в каталоге Cookies - Java-скрипт 'zshell.js'
В результате на диске оказываются две стартовые компоненты бекдора:
"%TMP%a.com"
"%Cookies folder%zshell.js"
Этап 2 - создание основных компонент
При старте на этапе 1 скрипт 'zshell.js' выполняет два основных действия:
#
создаёт компоненту пересылки данных - Win32 EXE-файл 'netd.exe'. Для этого запускается файл 'a.com', который считывает из своего тела, расшифроваывает и сохраняет на диск файл 'netd.exe'.
Затем этот файл копируется в Windows-каталог 'Cookies'.
Данная компонента 'netd.exe' затем используется как утилита приёма-передачи данных. Поддерживаются два протокола - SMTP и HTTP.
#
скачивает с Web-сайта файл 'install.php', сохраняет его с именем 'o.js' и запускает его.
При этом использует команду "GET HTTP" и услуги компоненты 'netd.exe'
Этап 3 - инсталлирование бекдор-компонент
При старте на этапе 2 скрипт 'o.js' выполняет следующие действия:
#
Скачивает с Web-сайта файл 'sh.php', сохраняет его под именем 'zshell.js' и запускает его. Это - основная компонента бекдора.
#
Создаёт ключи авто-запуска системного реестра, которые стартую бекдор-скрипт при каждой перезагрузке Windows (см. выше).
#
Создаёт дополнительный "авто-рестарт" файл-скрипт. Для этого создаётся новый файл 'repost.html', в который записывается скрипт-программа запуска 'zshell.js'.
Файл 'repost.html' создаётся в каталоге 'Cookie':
"%Cookies folder%repost.html"
и регистрируется в ключе реестра:
HKLMSOFTWAREMicrosoftInternet ExplorerAboutURLsPostNotCached
В некоторых случаях Internet Explorer автоматически выполняет данный скрипт, в результате чего бекдор получает управление.
Технические детали
Команды бекдора
Команды получает инструкцией "GET /cmds/?ip=%uniqueId%&ver=%verTimeStamp%"
Полный перечень команд:
EXIT - завершить работу
NOBREAK - пустышка (ничего не делает)
SETCMDURL - установить новый хост, с которым общаться
RUN - выполнить команду (команда в параметре)
SENDMAIL - отослать письмо (тело письма в параметре), SMTP сервер берет из "HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccountsормацию на электронный адрес злоумышленника (этот адрес также опционален). Сообщения троянца содержат: имя компьютера и его адрес в Сети, RAS-информацию, логины и пароли доступа в сеть и также строки, которые пользователь вводил на клавиатуре.
Trojan.PSW.M2
Эта программа относится к семейству "троянских коней", ворующих системные пароли.
Существуют Редактор сервера и Троянский сервер. Редактор сервера позволяет "настроить" троянца (инсталляция в заражаемую систему, куда отсылать украденные пароли, и т.п.)
Trojan.PSW.Phreaker
Эта программа относится к семейству "троянских коней", ворующих системные пароли (см.описание семейства).
При запуске троянец инсталлирует себя в систему: копирует в системный каталог Windows с именем KERNEL32.EXE и регистрирует этот файл в системном реестре в секции авто-запуска.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun kernel32 = kernel32.exe
Троянец также создает дополнительный файл-библиотеку KERN32.DLL. Троянец затем регистрирует себя как скрытое приложение (сервис) и невидим в списке задач.
Троянец периодически отсылает собранную информацию на электронный адрес злоумышленника. Сообщения троянца содержат: имя компьютера и его адрес в Сети, RAS-информацию, логины и пароли доступа в сеть и ICQ.
Троянцем также можно управлять при помощи специальных команд, расположенных на Web-странице одного из публичных серверов (т.е. троянец содержит процедуры типа "backdoor"), однако эта страница недоступна.
Trojan.PSW.Spedia
"Ворует" (отсылает по указанному в троянце Internet-адресу) файл SPEDIA.DAT, в котором хранится информация об аккаунте на сервере http://spedia.net - SPEDIA, рекламная компания, которая оплачивает зарегистрированным пользователям просмотр рекламы (сетевой серфинг).
На аккаунте SPEDIA хранятся данные пользователя (адрес, фамилия, заработанные пользователем деньги и т.п.). Обладая данными об аккаунте на сервере SPEDIA можно этот аккаунт использовать в своих целях.
Trojan.PSW.Winrep32
Эта программа относится к семейству "троянских коней", ворующих системные пароли (см. описание семейства).
Основная функция - сбор паролей и пересылка их e-mail'ом злоумышленнику. Кроме того эта программа, находясь в памяти компьютера, записывает во временный файл C:WINDOWSWINREP32.TMP все нажатия клавиш, которые производит пользователь, работая на компьютере. Файл в последствии отсылается злоумышленнику вместе с файлами SYSTEM.INI, *DIAL*.INI, *.PWL.
