Одиссея программиста

Hi-Tech

Спецвыпуск: Хакер, номер #048, стр. 048-054-1

(hi-tech@nsd.ru, http://nsd.ru)

Краткий экскурс в троянмейкинг

Еще со времен появления первых персональных компьютеров стали возникать вредоносные программы – вирусы. Из-за того что сеть в те времена была большой редкостью, паразиты перебирались с компьютера на компьютер на различных носителях, маскируясь под интересные игры или полезные утилиты.

Что есть троян?

Давным-давно под трояном понимали просто злобную программу, которую распространяли на различных носителях информации. При помощи социальной инженерии пользователя заставляли запустить ее. Последствия запуска троянатогда были отформатированный жесткий диск, испорченная система, стертые файлы и многое-многое другое. Воровать в то время было особо нечего, и основной функцией троянов были деструкция и приколы.

Шло время, технологии развивались и становились все более доступными, и вскоре на свет появились первые наброски клиент-серверных троянов, управляемых через TCP/IP удаленно. Распространялись они по-прежнему на различных носителях, а также по интернету и по e-mail (под видом всяческих твикеров системы, крякеров интернета и коллекций порно). Новое поколение троянов умело не только форматировать жесткий диск, но и тащить с компьютера PWL, ICQ UIN, а затем и пароли из различных почтовых программ, кошельки с e-деньгами. Затем к некоторым троянам подключилась функция самораспространения, трояны стали создаваться, в большинстве случаев, для каких либо конкретных заданий, что позволяло уменьшить до предела размер сервера с целью облегчения его впаривания. Что проще: передать по e-mail 300 Кб или 5 Кб?

На что же направлено действие современных троянов? В первую очередь, конечно на кражу конфиденциальной информации. В понятие «конфиденциальная информация» входят не только пароли RAS, ICQ, IRC, E-MAIL, NetBIOS, FTP, SHELL, но и ценные документы: данные о кредитной карте, копии паспорта и прочие важные сведения, которые можно получить из файлов, сохраненных на компьютере. Пример такого трояна был рассмотрен в Спеце #11.2003(36), посвященному кардингу, и умело наше творение (теоретически) утягивать WM-кошелечек у неумного, но богатого пользователя.

Эксперт компьютерной вирусологии Евгений Касперский в своей книге «Компьютерные вирусы» дал такое определение трояну: «К троянским коням относятся программы, наносящие какие-либо разрушительные действия, то есть в зависимости от каких-либо условий или при каждом запуске уничтожающие информацию на дисках, "завешивающие" систему и т.п.».

Для любителей ICQ приведем пример на основе популярного ICQ-клиента Trillian. Trillian хранит пароли в *.ini-файлах. Например, пароли от AIM и ICQ хранятся в файле aim.ini. Вид этого файла следующий:

[Имя профиля]

…

name=ICQ_uin

password=8216FD

Из написанного понятно, что запись, судя по всему, находится в HEX’e (на это указывают характерные для данной системы счисления F и D). Попробуем перевести 82, 16, FD попарно в десятичные числа. Получаем число 130. А теперь воспользуемся табличкой, приведенной ниже. В первом столбце - номер пары в хэше (в нашем случае 82 – первая пара), а во втором - XOR (для получившегося после перевода из HEX’а числа).