ru.nethack

 
 - RU.NETHACK -------------------------------------------------------------------
 From : George Shoutov                       2:468/74.90    21 Mar 2001  22:13:49
 To : All
 Subject : Sub'ы наступают...
 -------------------------------------------------------------------------------- 
 

 і                                                                             і
 TROJ_SUB722: появился продвинутый апдейт хакерской программы
 
 TROJ_SUB722 - новый член многочисленного семейства троянских коней под именем
 "SubSeven". Все члены этой семейки представляют собой утилиты скрытого
 администрирования компьютеров в сети (backdoor) с удаленного терминала, по
 возможностям напоминающие "Backdoor.BO"(aka Back Orifice trojan). Как и другие
 backdoor-троянцы, "SUB722" содержит серверную и клиентскую компоненты. Помимо
 этого этот троянец несколько усовершенствован и имеет новые функциональные
 возможности по сравнению со своими предшественниками. Удаленный "пользователь", 
 запуская клиентскую часть троянца, может получать полный доступ на
 инфицированные компьютеры, на которых установлена серверная компонента троянца. 
 Обе компоненты являются настраиваемыми: т.к. они (компоненты) поддерживают
 специальные плагины, в них могут быть внесены новые функции. Кроме того, SUB722 
 содержит функцию EditServer, позволяющую удаленному клиенту создавать
 собственную версию серверной компоненты и конфигурировать ее дистанционно. После
 выполнения серверной части троянца на зараженном компьютере в системный каталог 
 Windows (для Windows 9x) или WindowsNT (для Windows NT) записывается файл
 троянца, который имеет случайное имя. Для своего запуска после перезагрузки
 инфицированной системы троянец применяет один из пяти методов: 1. модифицирует
 секцию авто-запуска системного реестра:
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run
 %randomkeyname%=%windowssystem%\"randomname" или
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices
 %randomkeyname%=%windowssystem%\"randomname" 2. модифицирует системные файлы
 WIN.INI и SYSTEM.INI 3. создает свою директорию, добавляя в системный реестр
 ключ: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
 Currentversion\explorer\User Shell Folders Common Startup=%trojancreatedfolder% 
 4. инсталлирует себя как компонент, создавая в системном реестре ключ:
 HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components
 %randomkeyname%=%windowssystem%\"randomname" 5. создает копию себя в виде файла 
 "EXPLORER.EXE" в корневом каталоге С помощью клиентской консоли удаленный хакер 
 подключается к зараженной машине и получает полный контроль над ней. Троянец
 позволяет выполнять на инфицированном компьютере различные функции в зависимости
 от установленных на нем плагинов: * TROJ_SUB722_P4: App redirect, Netstat, Port 
 redirect, FTP-серверr, менеджер задач (просмотр и прерывание запущенных
 процессов и приложений), редактор системного реестра (позволяет
 создавать/удалять ключи системного реестра) и сетевой броузер. * TROJ_SUB722_P5:
 Перехватывание скриншотов (снимков экрана), отслеживание передвижений мыши и
 просмотр изображений с web-камеры. * TROJ_SUB722_P6: Создание эффекта
 перевернутого экрана, вывод на дисплей картинок, редактирование буфера обмена,
 печать текста, речевой вывод текста, запуск игры "крестики-нолики". *
 TROJ_SUB722_P7: Открытие Web-броузера, изменение разрешения и цветовой палитры
 монитора, перезагрузка системы, изменение звуковых установок и установок
 времени/даты,а также "игра" лампочками на клавиатуре. * TROJ_SUB722_P11:
 Сканирование и запуск сетевых сервисов. * TROJ_SUB722_P12: Контроль работы ICQ- 
 клиента. * TROJ_SUB722_P8: Загрузка, отключение/замена и отсылка ключей для
 активации приложений. * TROJ_SUB722_P10: Получение кэшированных паролей для
 скринсэйвера, удаленного доступа к сетям, почтовым серверам. * TROJ_SUB722_P1:
 Захват ICQ-пароля путем подсовывания жертве ложного окна для ввода пароля. *
 TROJ_SUB722_P3: Сетевой монитор (Пакет sniffer) * TROJ_SUB722_P9: Сбор различной
 информации. * TROJ_SUB722_P2: Создание эффекта "матрица" при отсылке сообщений
 жертве. Используя функцию EditServer хакер может дистанционно контролировать
 работу серверной компоненты троянца на компьютере-жертве, выполняя при этом
 следующие действия: 1. Изменять пароль доступа к "серверу" и порт, через который
 он работает. 2. Использовать любой другой порт. 3. Использовать определенное или
 случайное имя "сервера". 4. Hазначать метод запуска троянца. 5. Hазначать все
 сразу или любой из пяти методов оповещения, а именно: 5.1 ICQ, 5.2 Email, 5.3
 IRC, 5.4 SIN (статический IP Notifier) и 5.5 CGI (web-уведомление). 6. "Цеплять"
 к "серверу" исполняемые модули: любую программу или определенный плагин. 7.
 Hазначать URL-адреса, с которых серверная компонента троянца может загружать
 плагины через интернет. 8. Определять ограничения на команды и инструкции,
 выполняемые "сервером". 9. Hазначать email-адрес, на который будут отсылаться
 украденные с компьютера-жертвы пароли, а также перехватываемые значения нажатых 
 клавиш. 10. Изменять иконку "сервера" и разрешать вывод на дисплей жертвы ложных
 сообщений об ошибках при первом запуске "сервера" на выполнение.
 
 Copyright (C) "Лаборатория Касперского"
 
 і                                                                             і
 АДДД                                                                       ДДДЩ
 
 ... [SLS] [BEER] [E-LIVE] [FIDO] [ЖДУ 1-е МАРТА]..........................] ...
  * Origin: [Лукьяненко] Глубина, глубина ! Я не твой... (2:468/74.90)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор