обратная сторона трояна обратная сторона троянаВсем нам приходят трояны. Они приходят через почту или icq. Обычно мы их удаляем или игнорируем ссылки на них. В статье я распишу один из способов получения выгоды из чужого трояна. немного о трояне Всем понятно, что троян куда-то посылает ваши пароль, обычно это почта или гейт. В статье буду рассматривать посылку паролей на почту. а что несёт в себе троян? Даже нубу известно, что троян ворует пароли, но не каждый смекнул, что по сути троян сам в себе несёт пароль от какой-то почты. А происходит это по следующей причине: большинство smtp серверов требуют авторизацию. Значит троян должен вначале авторизоваться на smtp сервере, а только потом он сможет отправить письмо. (Пару лет назад авторизации на smtp небыло даже на mail.ru. Какие были времена..) Вот этот логин\пароль для авторизации мы и будем доставать. как будем доставать? Поскольку я не владею приёмами реверсинга и чудесами ассемблера, то будем доставать по рабоче-крестьянски - с помощью снифера. Естественно на своей машине запускать троян как-то не хочется, поэтому будем запускать на виртуальной (на неё вам нужно установить win) toolz Мы будем использовать две программы vmware - виртуальная машина. Имеется 30-ти дневный бесплатный ключ. wireshark- снифер пакетов. Бывший ethereal. ссылки в конце статьи begin Как вы наверно уже поняли, мы будем запускать троян на виртуальной машине, а на своей реальной машине будем сниферить куда какие пакеты идут. (в принципе если вы это поняли и знаете как это делается, то дальше можно не читать) Сперва запускаем снифер и настраиваем его на интерфейс смотрящий в интернет. Выбор интерфейса В моём случае я выбираю интерфейс eth0 (жму start рядом с ним) Снифер работает. Теперь нам нужно запустить сам троян под vmware. Тут я думаю обойдёмся без скриншотов Запуск под vmware совершенно безопасен для вашей винды. Запустили. Троян отправил рапорты. Теперь возвращаемся к сниферу. Останавливаем процесс сбора пакетов (такая красная кнопочка) находим smtp пакет и смотрем содержимое (folow tcp stream) нужный кусок содержимого Красным цветом снифер отмечает пакеты, которые отсылаете ВЫ, а синим отмечены ответы на ваши пакеты. Что мы имеем? Итак. Начинаем разбирать что имеем. Code: 220 mail.ru ESMTP Tue, 26 Jun 2007 13:36:32 +0400 От сюда понятно, что smtp сервер mail.ru AUTH LOGIN Это значит, что троян сейчас будет посылать логин\пароль eFh4LVNvZnR3YXJl это троян послал логин NjZiOTMzNWM2ZDFhOTUxOA== это пароль Так же из снифера можно узнать куда и откуда идёт письмо. Пока наш логин\пароль не очень похож на нормальный логин\пароль. Согласно спекам протокола smtp такие вещи передаются в base64. Естественно их нужно декодировать. Это очень просто сделать, достаточно ввести в google base64 decoder и будет куча ссылок. Например вот этот кодер\декодер Декодируя логин\пароль мы получим логин - xXx-Software пароль - 66b9335c6d1a9518 Вот мы и получили заветный логин\пароль от почты, через которую троян посылает пароли. Ошибка в настройке трояна Очень часто юные впариватели указывают в настройках того же пинча логин\пароль от той же почты, куда и идут рапорты трояна. Для нас это конечно идеальный вариант и он очень часто встречается в сети. Три из трёх троянов, которые в последние дни мне пытались впарить были именно такие. =) Естественно при таком раскладе мы имеем доступ к рапортом трояна. Тоесть наш герой трудиться и впаривает трояны, а мы берём уже готовые рапорты =))) А если троян настроен нормально? Тут уже поживиться чужими рапортами не получиться т.к. троян логиниться под одной почтой, а посылает на другую. Пока я не встречал почтовых серверов (я просто ими не пользуюсь), где была бы доступна опция сохранения исходящих писем через smtp. Если появятся такие почтовые службы, то мы опять сможем контролировать все рапорты. В любом случае мы можем сделать юному впаривателю западло, а именно изменить пароль на почту. И вся его рассылка трояна пропадёт т.к. троян не сможет зайти на сервер. (если конечно есть возможность смены пароля. Да и пароль можно восстановить) end Думаю этой статьёй я сильно не открыл глаза тем, кто умеет пользоваться снифером, но лично мне было трудно представить сразу, что троян, который ворует пароли, по сути сам несёт в себе пароль. Так же в статье я не разбирал троян, который отсылает рапорты на гейт (пока руки не дошли) Способ в действии вы можете посмотреть в моём видео, которое я снял для этой статьи. В видео я делаю так мной названый "обратный хэк =/". links vmware virtualbox можно использовать вместо vmware wireshark base63 encoder\decoder video http://video.antichat.ru/file230.html Видео в формате ogg должно открываться с помощью mediaplayer. упд Вместо vmware можно использовать virtualbox, который полностью бесплатный.
Какой трой рассмотрен в статье? Pinch ? Практика применения материала: 1. Дезактивация рассылки отчётов чужого троя (выгода сомнительна) 2. Если повезёт (ошибка настройки троя), то хаваем чужие отчёты. (выгода есть). P.S. Гуд. Пиши продолжение, если отсылка идёт на гейт.
какая выгода? Простое удовлетворения от того, что какой-то добоёб потеряет своего понча. Вот например один топик в тему с васма http://www.wasm.ru/forum/viewtopic.php?id=20101 PS Все кто рассылает пончи, но не может сам реализовать хотя бы приблизительно похожее - простые чайники, которым в интернет нельзя.
В моём видео это пинч, хотя в статье троян рассматривается в принципе т.к. думаю большинство троянов работают по такой же схеме. Просто пинч - сможет даже амёба Везёт очень часто =) true!
гораздо интереснее дать пинчу украсть у вас пасс от фтп, где хранится "приватный софт" (потрояненные уже вами какие-нить фейки).. а насчет видео - согласен с BlackLogic'ом - из-за такой ерунды наврядли кто захочет 11м качать.. кста, чаще всего, если используют тот же пинч, то с отсылкой отчетов на гейт, а не на почту..
Сейчас это не проблема. Сбегал в туалет по маленькому, оно и скачалось =) РАзве что модемщикам проблемно. От того у тебя и репутация 558 =)
статья гавно на гейт тупо смотрим код гейта и вуаля истина открывается нам $ip=getenv("REMOTE_ADDR"); $email=$_POST['a']; $subject=$_POST['b']." (".$ip.")"; $msg=str_replace(" ", "+", $_POST['c']); $var=$_POST['d']; постом а a идет мыло в это сабж -- в с само содержимое отчета тк передается через веб то пробелы идут как + в пост d идет расширение отчета бугого рассматривал классический гейт --------- кстати то что отсылается в пост С -- сам текст отчета еще и в base64 кодирован -- при записи декодится вуаля я тоже тсатью написал --- давайте мне пицот плюсенков =) -- чет я сення разошелся
ну я не думаю что новички многое поймут в незнакомом линух интерфейсе) а вообще видео неплохое, ибо наглядный пример всегда лучше. Хорошая статья, спасибо =)
а дизассемблировать понча и посмотреть там мыло и пароль не судьба? может уж тогда поставим снифер у провайдера и будет смотреть что через нас посылает понч? выгода - да, супер выгода. отнять чужое мыло с отчетами понча. потом продавать девятизнаки и красивые мыла за 0.01 wmr
Софт, который грузят тебе на комп, бывает весьма разнообразный, поэтому без реверса тут делать, вообщем-то, и нечего
для примера - логин и пароль к мылу идут на HTTP гейт зашироваными. xor'ом даже если. и что тогда делать?
ксором и к каждому очередному байту прибавлять очередное значение из таблицы 0xff, 0x2d, 0x24, 0x5c, 0xc2, 0xfc, 0x99 по кругу. страшно?
Эти же программы есть под windows. Тут согласен в принципе. Зато есть духовное удовлетворение. =) Были такая мысль, но я сразу написал, что ассемблером и реверсингом не владею.
это самый правильный вариант, но статья явно ориентирована не для знатоков. сейчас многие хак порталы загибаются из-за обилия такого говна в "купле-продаже", это пораждает всяких ублюдков барыжащих очередным мпаком за 10$, поэтому, как по мне, нужно либо не выкладывать такие статьи в паблик, либо убирать продажные разделы в приват.
НЕ мужики (и прекрасные дамы ) чё вы на человека накинулись у меня нет тут рейтинга и тд но всётаки человек старался и не для тех кто гуру или как там а для начинающих ! А вы всё засрали !
