Иллюстрированный самоучитель по Secure Web


"Потайные ходы" и программы типа "троянский конь" в Win 9x - часть 4


  •  Сканирование портов (выполняется непосредственно на удаленном компьютере!).
  •  Запуск FTP-сервера с корневым каталогом С:\ (с неограниченными правами чтения/записи).
  •  Удаленное редактирование системного реестра.
  •  Извлечение кэшированных паролей, а также паролей RAS, ICQ и других служб.
  •  Перенаправление потоков ввода-вывода портов и приложений.
  •  Печать.
  •  Перезагрузка удаленной системы.
  •  Регистрация нажатий на клавиши (по умолчанию прослушивается порт 2773).
  •  Удаленный терминал (по умолчанию прослушивается порт 2773).
  •  Перехват управления мышью.
  •  Контроль за удаленными приложениями iCQ, AOL Instant Messenger, MSN Messenger и Yahoo Messenger (по умолчанию используется порт 54283).
  •  Запуск Web-броузера и переход на узел, заданный пользователем.

Сервер предоставляет также возможность использования канала IRC, что позволяет взломщику задать IRC-сервер и канал, к которому нужно подключиться. После этого сервер S7S передает данные о своем местоположении (IP-адрес, связанный с ним порт и пароль). Кроме того, S7S может функционировать в качестве стандартного IRC-сервера, передавать через канал команды, уведомлять взломщика об успешном поиске ценной информации через службу ICQ, почтовые службы, а также выполнять множество других действий.

С помощью приложения EditServer, распространяемого вместе с S7S, сервер можно настроить таким образом, чтобы он загружался в процессе загрузки системы. Для этого нужно поместить параметр WinLoader в ключ Run/RunServices или внести соответствующие изменения в файл WIN. INI.

Как видно из информации одного из популярных списков почтовой рассылки, посвященного вопросам безопасности в Internet, представители крупных телекоммуникационных компаний США жаловались на то, что на протяжении конца января и начала марта 2000 года большое количество компьютеров их корпоративных сетей было поражено программой S7S. Все серверы подключались к виртуальному IRC-cepsepy (irc.ircnetwork.net, а не к определенному серверу) и использовали один и тот же канал. При этом примерно через каждые пять минут передавался их IP-адрес, номер порта и пароль. В качестве заключения можно сказать следующее: после того, как сервер поместил в открытый канал пароль и другие важные данные, практически любой пользователь, подключенный к этому же каналу, с помощью клиента SubTClient может подключиться к инфицированному компьютеру и выполнять любые действия. Вне всяких сомнений, Sub? представляет собой сложную и скрытую программу, которая прекрасно подходит для сетевого хакинга. FTP-сервер, входящий в состав пакета Sub7, представлен на рис. 4.6.




Начало  Назад  Вперед



Книжный магазин