[ Pobierz całość w formacie PDF ]
.Mogą one być wysyłane do „serwera” i instalowane.Sposób usunięcia z systemu:Back Orifice jest wykrywany przez programy antywirusowe.Jeśli dysponujemy najnowszą sygnaturą wirusów, to problem BO jest rozwiązany.Jeśli nie, musimy ją ściągnąć z Internetu.Możemy także użyć programów do wykrywania BO.W Sieci znajdziemy ich całą masę.Najbardziej znane to: Bored 0.2 executable i BoDetect v1.2.oraz NOBO.Gdy chcemy to zrobić „ręcznie” musimy najpierw uruchomić Edytor Rejestru (regedit.exe) i znaleźć klucz (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/RunServices).Później usuwamy wartość o nazwie „.exe”.Resetujemy system.Z katalogu C:/WINDOWS/SYSTEM usuwamy pliki z rozszerzeniem.exe i windll.dll.Nasz system jest od tej pory bezpieczny.DEEP THROAT REMOTE 1.0Program składa się z dwóch plików: serwera systempatch.exe (260 971 b) oraz klienta RemoteControl.exe (271 959 b).Serwer DTR 1.0 nie jest zabezpieczany hasłem, więc dostęp do niego jest możliwy z każdego klienta programu.Aplikacja działa tylko na komputerach z zainstalowanym systemem Windows 95 i 98.Program wyposażony został w następujące funkcje:lOtwieranie i zamykanie CD-ROM-u na serwerze;llUruchamianie okienka dialogowego z komunikatem;llChowanie i przywracanie paska startowego Windows;llSerwer FTP umożliwiający ściągnięcie dowolnego pliku z komputera ofiary (aby tego dokonać niezbędny jest klient FTP, np.Cute FTP lub WS_FTP);llZrzut ekranu serwera (dzięki temu można zobaczyć aktualny ekran na serwerze, np.pulpit ofiary),llOtwarcie adresu internetowego na serwerze;llWłączenie trybu oszczędzania energii;llW wersji późniejszej niż 1.0 — kradzież hasła systemowego;llUruchamianie programów na serwerze (widzialne lub nie);llResetowanie serwera;llSkaner obecności serwera DTR na hostach;llPingowanie (przesyłanie pakietu informacji) hosta w celu sprawdzenia aktywności serwera DTR;llPodanie dokładnych informacji o komputerze ofiary.lSposób usunięcia z systemu:DTR jest wykrywany przez większość znanych programów antywirusowych.Jeśli nie mamy takiego programu lub brakuje nam najnowszej sygnatury znanych wirusów, możemy usunąć program „ręcznie”.W tym celu uruchamiamy Edytor Rejestru i odnajdujemy klucz o nazwie HKEY_ LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run.W kluczu tym znajdujemy wpis „SystemDLL32” i zapamiętujemy nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSTEMPATCH.EXE”).Następnie kasujemy wpis.Resetujemy komputer.Po ponownym uruchomieniu Windows odszukujemy na dysku aplikację i kasujemy ją.Nasz system jest od tej pory bezpieczny.MASTER'S PARADISEW przypadku MP twórca programu jest znany.Jest nim niemiecki programista Dan Lehman.MP składa się z dwóch części.Serwer może być dołączony do praktycznie każdej aplikacji.W Internecie upowszechnił się poprzez dołączenie do popularnej gry-parodii — „Pie Bill Gates” (rzucanie ciastkiem w Billa Gatesa), gdzie zagnieździł się w pliku game.exe.Uruchomienie tej gry powoduje jednocześnie zarażenie systemu koniem trojańskim (najczęściej poprzez zainstalowanie gry, której nielegalna dystrybucja rozpowszechniona jest w samorozpakowujących się archiwach programu TurboSFX).Aplikacja działa tylko na komputerach z zainstalowanym systemem Windows 95 i 98.Program wyposażono w różne funkcje:lOtwieranie lub zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu);ll„Podsłuchiwanie” ofiary — przesyłanie ciągu wystukiwanych na serwerze znaków;llChowanie, pokazywanie i wyłączanie okien aplikacji na serwerze;llGenerowanie dźwięku wciskanych klawiszy;llNagrywanie dźwięku przez mikrofon ofiary;llNawigacja myszką ofiary;llOdtworzenie dźwięku na komputerze ofiary;llOtwarcie adresu internetowego na serwerze;llPrzesyłanie dowolnych plików na serwer;llScreenshot — zrzut ekranu ofiary;llŚciąganie i kasowanie dowolnego pliku na serwerze;llUruchomienie aplikacji na serwerze;llWyłączenie dowolnego klawisza;llWysłanie komunikatu do ofiary.;llWysyłanie tekstu do aktywnej aplikacji;llWyświetlenie dokładnych informacji o komputerze;llWyświetlenie na ekranie ofiary obrazka;llZamiana przycisków myszki: prawy na lewy i na odwrót;llZmiana głośności dźwięku;llZresetowanie, wylogowanie ofiary.lSposób usunięcia z systemu:MP jest wykrywany przez większość znanych programów antywirusowych.Usuwa go także aplikacja wykrywająca Back Orifice'a: BOClean 2.01Jeśli nie mamy programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów, możemy usunąć program „ręcznie” lub ściągnąć sygnaturę z Internetu.MP instaluje się do systemu poprzez zastąpienie programu sysedit.exe swoim serwerem oraz biblioteki KeyHook.dll znajdującej się w katalogu Windows lub katalogu systemowym (C:/WINDOWS lub C:/WINDOWS/SYSTEM).O ile odzyskanie tego pierwszego pliku nie sprawia większych trudności (jest dołączany do każdej dystrybucji programu instalacyjnego systemu), to z przywróceniem drugiego pliku są już większe problemy, gdyż jest on dołączany do niektórych tylko programów.Trzeba więc znaleźć go w ich wersjach instalacyjnych lub w Internecie.Uruchamiamy Edytor Rejestru i odnajdujemy klucz o nazwie: HKEY_LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run.W kluczu tym znajdujemy wpis i zapamiętujemy nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSEDIT.EXE”).Kasujemy wpis.Resetujemy komputer.Po ponownym uruchomieniu Windows odszukujemy na dysku aplikację i kasujemy ją.Kasujemy również bibliotekę KeyHook.dll i przywracamy powyższe pliki z oryginalnych wersji instalacyjnych.Nasz system jest od tej pory bezpieczny.NETBUS 2.0Podobnie jak w przypadku wcześniejszego Master's Paradise znamy twórcę Netbusa.Jest nim Carl-Fredrik Neikter.Co ciekawe, wersja 2.0 jest programem shareware, który należy zarejestrować [istnieją dwa rodzaje licencji: „na użytek domowy” oraz dla firm i organizacji (pojedyncze lub stanowiskowe)].Opłata jest związana, jak twierdzi autor, nie z komercyjną działalnością, ale ze wsparciem jego działań.Wersja 1.6 składa się z dwóch najważniejszych plików (nie mówiąc o dokumentacji): serwera o nazwie Patch.exe (472 576 b) oraz klienta — NetBus.exe (567 296 b)
[ Pobierz całość w formacie PDF ]
