БУТ ИЛИ НЕ БУТ? - продвинуто распространяем троев

DarkSergeant

Спецвыпуск Xakep, номер #025, стр. 025-038-2

Подводим итоги - мы должны сделать обычную системную дискету Windows-а, выкинуть из нее все лишнее. Записать на дискетку нашу программу (с пропиской запуска в autoexec.bat), которая при запуске сканирует винчестер и прописывает себя (или другую программу) в Startup-директории, а также, опциально, переписывает Explorer, Word, Notepad и т.д.

ПРЯЧЕМ

Для маскировки загрузки с дискеты желательно затереть все надписи, которыми обычно сопровождается загрузка с дискеты, чтобы юзер был подольше в неведении. Для этого надо в файлах io.sys, msdos.sys затереть все сообщения нулевыми символами (открываешь эти файлы в любом hex-редакторе, ищешь все, что похоже на осмысленные строки, и зафигачиваешь на их место нули). Для того чтобы программа не отсвечивала на диске, можно основную часть (которая занимается переписью на винт) переименовать в command.com, а хвост (программа, которая будет переписана на винт) спрятать в bad-секторах, lost cluster-ах дискеты (или без гимора заренеймить в какой-нибудь bootcat.bin или aspi4dos.sys :)). После того как деструктивные действия выполнены (программа переписана на винт), можно вывести стандартное сообщение «Insert system disk», чтобы опять же юзер ничего не заметил.

ПРОДВИГАЕМ

Самое интересное, что все, что я сейчас говорил про дискеты, так же справедливо и для загрузочных cd-дисков. У загрузочного cd-юка есть невидимый специальный файл - образ дискеты, который при загрузке с cd-диска и получает управление.

Так что по-быстрому делаешь загрузочную дискету (причем можно не особо заморачиваться с маскировкой, так как на cd-юке все равно нельзя обычными средствами посмотреть, что было в образе дискетки), записываешь загрузочный cd-диск с образом только что сделанной дискетки и раздаешь народу в качестве халявы; рано или поздно юзер забудет сидюк в дисководе, и все! Твой троян получил управление.

Раз уж зашла речь о CD-дисках, то сразу вспоминается такая фича, как Autorun. Windows обычно при вставке диска запускает программу, которая прописана на сидюке для автозапуска. Autorun делается не просто, а очень просто. Создаем exe-шник и записываем на сидюк, далее в корень диска записываем файл "autorun.inf" из двух строчек.

[autorun]

open=<путь к exe-шнику>

Где <путь к exe-шнику> - это полный путь (но без буквы диска) к программе, которую надо запустить. Например, MyDir\MyCoolProgram.exe или MyTroan.exe. Если необходимо, то программе можно передать и параметры - 'MyProgram.exe KillAll'. По большому счету, файл не обязан быть exe-шником, это может быть файл с любым расширением, известным Windows-у. Если ты фанатеешь от макровирусов, то вместо exe-шника можешь смело прописывать на запуск doc-файл с макровирусом ;).

Но давай маленько поговорим за психологию. Для того чтобы юзверь не напрягся при вставке и запуске твоего диска, надо этот самый запуск как-нибудь замаскировать. Для этого можно использовать два подхода. При первом подходе программа переименовывается во что-нибудь безобидное (например, setup.exe), а при старте быстро и без всяких окон прописывает себя в Windows, надеясь, что пользователь ничего не заметит. При втором подходе троян оформляется, например, в виде программы-меню, которая предлагает юзеру посмотреть, что есть на диске, полистать картинки, послушать музыку и т.д., а сама в это время на заднем фоне заражает компьютер. Троянов лучше писать самим, а не пользоваться готовыми, так меньше вероятность, что антивири что-то унюхают. Чужой троян (хотя и свой тоже) стоит проверить последним антивирусом (а лучше несколькими различными). Иначе может получиться нехорошо, чел, с которым ты поделился диском, при следующей встрече может и по ушам надавать...