"Потайные ходы" и программы типа "троянский конь" в WIN 9x
NetBus
Более требовательному хакеру, возможно, больше понравится "дальняя кузина" ВО – программа NetBus, позволяющая получить удаленное управление над системой Windows (в том числе и Windows NT/2000). Эта программа, написанная Карлом-Фредериком Нейктером (Carl-Fredrik Neikter), имеет более привлекательный и понятный интерфейс, а также более эффективный набор функций. В частности, она оснащена графическим интерфейсом, с помощью которого можно осуществлять удаленное управление (правда, только для высокопроизводительных соединений). Программа NetBus тоже позволяет гибко настраивать параметры. Кроме того, в Internet можно найти несколько ее модификаций. Сервер, запускаемый по умолчанию, имеет имя patch.exe (хотя его можно заменить на любое другое). Обычно при установке в ключ системного реестра HKEY_LOCAL_MACHINEXSoftware\ Microsoft\Windows\CurrentVersion\Run добавляется соответствующий параметр, чтобы сервер запускался каждый раз при загрузке компьютера.
По умолчанию с программой NetBus связывается TCP-порт 12345 или 20034. Поскольку эта программа не позволяет использовать UDP-порт (как ВО2К), то пересылаемые ею данные могут с большей вероятностью отфильтровываться брандмауэром.
SubSeven
Судя по всему, сервер SubSeven по популярности превосходит программы ВО, ВО2К и NetBus вместе взятые. Он определенно более стабильный, простой в использовании и предоставляет гораздо более широкие возможности хакерам. Эту программу МОЖНО найти ПО адресу http://subseveri.slak.org/main.html.
С сервером SubSeven (S7S) по умолчанию связан TCP-порт 27374, который используется по умолчанию и для клиентских соединений. Как и ВО и NetBus, программа S7S предоставляет взломщику практически полный контроль пал "жертвой". включая следующие возможности.
- Сканирование портов (выполняется непосредственно на удаленном компьютере!).
- Запуск FTP-сервера с корневым каталогом С:\ (с неограниченными правами чтения/записи).
- Удаленное редактирование системного реестра.
- Извлечение кэшированных паролей, а также паролей RAS, ICQ и других служб.
- Перенаправление потоков ввода-вывода портов и приложений.
- Печать.
- Перезагрузка удаленной системы.
- Регистрация нажатий на клавиши (по умолчанию прослушивается порт 2773).
- Удаленный терминал (по умолчанию прослушивается порт 2773).
- Перехват управления мышью.
- Контроль за удаленными приложениями iCQ, AOL Instant Messenger, MSN Messenger и Yahoo Messenger (по умолчанию используется порт 54283).
- Запуск Web-браузера и переход на узел, заданный пользователем.
Сервер предоставляет также возможность использования канала IRC, что позволяет взломщику задать IRC-сервер и канал, к которому нужно подключиться. После этого сервер S7S передает данные о своем местоположении (IP-адрес, связанный с ним порт и пароль). Кроме того, S7S может функционировать в качестве стандартного IRC-сервера, передавать через канал команды, уведомлять взломщика об успешном поиске ценной информации через службу ICQ, почтовые службы, а также выполнять множество других действий.
С помощью приложения EditServer, распространяемого вместе с S7S, сервер можно настроить таким образом, чтобы он загружался в процессе загрузки системы. Для этого нужно поместить параметр WinLoader в ключ Run/RunServices или внести соответствующие изменения в файл WIN. INI.
Как видно из информации одного из популярных списков почтовой рассылки, посвященного вопросам безопасности в Internet, представители крупных телекоммуникационных компаний США жаловались на то, что на протяжении конца января и начала марта 2000 года большое количество компьютеров их корпоративных сетей было поражено программой S7S. Все серверы подключались к виртуальному IRC-cepsepy (irc.ircnetwork.net, а не к определенному серверу) и использовали один и тот же канал. При этом примерно через каждые пять минут передавался их IP-адрес, номер порта и пароль. В качестве заключения можно сказать следующее: после того, как сервер поместил в открытый канал пароль и другие важные данные, практически любой пользователь, подключенный к этому же каналу, с помощью клиента SubTClient может подключиться к инфицированному компьютеру и выполнять любые действия. Вне всяких сомнений, Sub? представляет собой сложную и скрытую программу, которая прекрасно подходит для сетевого хакинга. FTP-сервер, входящий в состав пакета Sub7, представлен на рис. 4.6.
Рис. 4.6. Клиент SubSeven предоставляет возможности использования FTP-cepeepa