шпионский инструментарий

НАУМОВ ЮРИЙ AKA CRAZY_SCRIPT

Спецвыпуск: Хакер, номер #070, стр. 070-012-3

В общем, если рассказывать обо всем, не хватит и статьи. Это можно прочувствовать только при тест-драйве.

[Penumbra 1.7.2]

Тип: trojan

Статус: freeware

WWW: yzkzero.yaeh.net

Прекрасный трой от корейских хакеров с отличными методами невидимости. В отличие от своих коллег, сумел скрыться не только от Windows Task Manager: Process Explorer так же ничего не показал. Бэкдор проникает в систему путем внедрения в определенный процесс. Мне пришлось удалять клиент через запущенный сервер, который, кстати, внушительных размеров: в незапакованном виде весит около 370Kb.

В плане функциональности трой скорее уступает предыдущему примеру, хотя предоставляемых инструментов должно вполне хватить для осуществления большинства целей: сбор информации о системе, о процессах, запуск программ, а так же лог введенных паролей, начиная от explorer'a и заканчивая winrar'ом. В любой момент можно снять скрин экрана, но, в отличие от CIA, только одной картинкой.

Конфигурауция экзешника сервера осуществляется через клиент и не представляет из себя ничего особенного, разве что только выбор метода работы в системе. Либо трой будет работать как отдельный процесс (имя и описание которого указывается при конфигурации сервера), либо будет производится инклуд в любой уже существующий.

[Pinch 2 Pro]

Тип: trojan

Статус: shareware

WWW: pinch3.ru, xroot.hut1.ru

Довольно таки старенькая разработка от coban2k, хорошо известного в сфере ICQ-хакинга, который, кстати, писал в наш журнал о паролях и их добыче (XS11(48)). Кстати, будет нелишним перелистать этот мегаполезный спецвыпуск.

Так почему настолько старый трой попал в наш обзор? Во-первых, дело в том, что троян этот шароварный, и у меня была лишь версия 2.58. На момент написания статьи последним выпуском была версия 2.95 за май этого года. Во-вторых, это, наверное, самый «парольный троян». В плане воровства паролей это один из лучших представителей семейства трояновых: начиная от аськи и почты, заканчивая Far'ом и TotalCmd. Забрать пароли и добытую информацию можно посредствам мыла, а точнее smtp-сервера или с помощью http. Причем второй способ несомненно эффективнее: отправка информации не только происходит без участия smtp, но и минуя firewall. Все пароли высылаются одним файлом, по желанию могут шифроваться. Подробнее о том, как скрыть трой, читай на www.xakep.ru/post/23566/.

В некоторых случаях может пригодиться способ управления жертвой через IRC. Параметры подключения бота к серверу настраиваются при компиляции. Управление происходит путем отсылки сообщений боту.