"Потайные ходы" и программы типа "троянский конь" в WIN 9x
Если предположить, что в вашей системе WIN 9х не используется совместный доступ к файлам, не установлен сервер удаленного доступа и отсутствует поддержка удаленного доступа к системному реестру, то можно ли считать ваш компьютер защищенным? По-видимому, в настоящий момент на этот риторический вопрос можно дать отрицательный ответ. Если злоумышленникам не хватает средств удаленного администрирования, они просто пытаются их установить.
В этом разделе мы рассмотрим три наиболее популярные из таких программ, которые разработаны по технологии клиент/сервер. Каждую из них можно найти в Internet. Кроме того, вы познакомитесь с "троянскими конями" – программами, которые на первый взгляд выглядят достаточно полезными, однако на самом деле содержат другой код, который может привести к злонамеренным или разрушительным действиям. Конечно, в Сети можно обнаружить бесчисленное множество таких программ и для их описания не хватит даже самой толстой книги.
Back Orifice
Программа Back Orifice (ВО), фактически являясь одной из самых известных программ хакинга WIN 9x, анонсирована разработчиками как средство удаленного администрирования системы WIN 9x. Эта программа была выпущена летом 1998 года в соответствии с соглашениями по безопасности Black Hat (http://www.blackhat.com/), и ее по-прежнему можно свободно получить по адресу (http://www.cultdeadcow.com/tools). Back Orifice позволяет получить практически полный удаленный контроль над системой WIN 9x, включая возможность добавления и удаления ключей системного реестра, перезагрузки системы, отправки и получения файлов, просмотра кэшированных паролей, порождения процессов и создания совместно используемых файловых ресурсов. Кроме того, другими хакерами для исходного сервера ВО были написаны подключаемые модули, предназначенные для установления связи с определенными каналами IRC (Internet Relay Chat), такими, например, как #BO_OWNED, и последующего разглашения IP-адреса жертвы всем, кто интересуется подобными вещами.
Программу ВО можно настроить таким образом, чтобы она самостоятельно устанавливалась и запускалась с использованием любого имени файла ([space].exe используется по умолчанию). При этом добавляется параметр в ключ системного реестра HKEY_LOCAL_MACHINE\ Software\MicrosoftWindows\CurrentVersion\RunServices, чтобы запуск ВО выполнялся при каждой загрузке компьютера. По умолчанию программой ВО применяется UDP-порт с номером 31337.
Очевидно, что программа ВО является воплощением мечты любого хакера, если не для проникновения в систему, то уж наверняка для удовлетворения болезненного любопытства. Появление ВО оказалось настолько грандиозным событием, что через год появилась вторая версия: Back Orifice 2000 (ВО2К, http://www.bo2k.com). Программа ВО2К имеет те же возможности, что и ее предыдущая версия, за исключением следующего. Во-первых, и клиентская и серверная части работают в системах Windows NT/2000 (а не просто в WIN 9л:). А, во-вторых, появился набор средств разработки, что значительно затрудняет выявление различных модификаций этой программы. По умолчанию программой ВО2К используется TCP-порт 54320 или UDP-порт 54321 и выполняется копирование файла UMGR32.EXE в папку %systemroot%.
Для предотвращения принудительного завершения работы ВО2К в списке задач будет маскироваться под именем EXPLORER. Если программа разворачивается в скрытом режиме, то она будет установлена в качестве службы удаленного администрирования (Remote Administration Service), в ключ HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices будет добавлен соответствующий параметр, а затем будет удален исходный файл. После этого запуск программы ВО2К будет выполняться при каждой загрузке компьютера. Все эти действия можно выполнить также с помощью утилиты bo2kcfg.exe, распространяемой вместе с пакетом Back Orifice 2000. На рис. 4.5 представлен внешний вид клиентной части программы ВО2К, bo2kgui. ехе, которая осуществляет контроль системы WIN 98SE. Из рис. 4.5 видно, что теперь клиент ВО2К может использоваться для остановки удаленного сервера и его удаления из инфицированной системы. Для этого нужно открыть папку Server Control, выбрать элемент Shutdown Server, а затем ввести команду DELETE.
Рис. 4.5. Клиентская программа с графическим интерфейсом (bo2kgui.exe) из пакета Back Orifice 2000 (ВО2К) управляет "потайным ходом " системы WIN 9х. С ее помощью можно удалить и сам сервер ВО2К
У клиента ВО2К имеется одна особенность, которая плохо документирована. Она заключается в том, что иногда в поле Server Address необходимо указывать номер порта (например, 192.168.2.78:54321, а не просто IP-адрес или имя DNS).