книги хакеры / журнал хакер / 016_compressed

30

001E

31337/PC ZONE

XAKEP > АПРЕЛЬ’Y2K

NETBUSTER - No bastards!

Horrific (smirnandr@mail.ru)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

Далее он подрубает-

ñÿ ê “жертве” è íà÷è-

нает шарить по чужо-

му диску.

Все помнят NetBus?

от вижу, как сотни хацкеров ка-

чают себе этот девайс, надеясь

Âпоиметь кого-нибудь. Без база-

ров, круто! Но от этого возрастает

вероятность, что тебя самого захотят натянуть

этим чудным коником. Пора подготовиться к

этому, подкрепив крепкую защиту изрядной

долей юмора. Я говорю о программе NetBuster.

Представь себе такую ситуацию: кульный хац-

кер сканирует диапазон ip на наличие трояна

NetBus (открытый 12345 порт). И вдруг находит

то, что надо, сопровождая это действо дикими

воплями. Далее он подрубается к “жертве” и

начинает шарить по чужому диску. И обнаружи-

вает, что к хакеру залез на винт! Чего здесь

только нет! Нюки для форточек 95-98-2000-

3000, флудеры, MTU-pass-genirator, кредитки.

И незваный гость начнет сливать себе все это

добро! Потом с радостью запустит какой-ни-

áóäü credit-card.exe èëè nukeFORwin2000.exe,

но ни одна прога - не работает. :( Обозлив-

Крути педали!

шись, он решает весь каталог маздая удалить!

И вытирает папку WINDOWS. А ровно через 10

сек. после того как он запустил твой суперуль-

Итак, для начала скачиваем себе по адресу

углу, у часиков, чтобы у “взломщика” не

трамегаНЮК.ехе, ты проверяешь свое мыло и

http://surf.to/netbuster Netbuster1.31 (à

возникло подозрений.

снимаешь оттуда пароли глупого халявщика,

может и постарше). Запускаем, вводим в зак-

3) Если есть грабилка экранов, сделай

который “залез на твой винт”. :) Либо сам под-

ладке About регистрационный ключик (можешь

ей скриншот и сохрани файло в формате

рубаешься к нему посредством другого сер-

поискать на astalavista.box.sk). Теперь сде-

JPG. Если грабилки нет, нажми копку

верного трояна, который он у тебя закачал и

лаем скриншот для того, кто захочет посмот-

Print Screen SysRq (над Insert). Открой

запустил. А возможно, что за свои грехи тяжкие

реть, что ты сейчас видишь у себя на экране:

любой графический редактор и нажми

он поплатится отформатированным винтом,

1) Выйди в Интернет и зайди на любой

“Вставить”. Сохрани как xe-xe.jpg.

сгоревшим биосом матери и убитым момедом.

сайт (лучше, конечно, на xakep.ru. :)

4) Открой закладку Files и в строке “jpg

С чего вдруг? Как же, он же по глупости зака-

2) Закрой значки фаерволов, выключи

image to send”... укажи путь к xe-xe.jpg.

чал inetCRK.exe с твоего винта. ;) В общем, ко-

АВП монитор или другие антивирусные

нечный приговор полностью в твоих руках.

проги, которые видны в правом нижнем

Следующую строчку Wav file... я у себя затер.

XAKEP > АПРЕЛЬ’Y2K

31337/PC ZONE

001F

31

Если хочешь, можешь создать звуковую за-

себя (НетБастер сам тебя потом вылечит), и в

пись, которую он якобы запишет с твоего мик-

клиенте НетБаса (это уже не НетБастор, а

рофона. Можешь туда записать, например,

троян) нажать кнопки: File manager, а затем

быстрый стук по клавиатуре.

Show files. После этого в папке трояна появит-

ся файл temp1.dsk. Открой его текстовым ре-

Program file to send on download. В этой строч-

дактором и добавь туда пару-тройку прог в

ке ты указываешь имя той проги, которую ты

корневом

каталоге,

òèïà

CitylinePASS.exe

Открываем Send Messages. Здесь ты мо-

хочешь чтобы “взломщик” скачал и запустил у

NUKE-OF-WIN98.exe и т.д. Вновь пропиши путь

жешь описать (ударение на “о”) любую инфу,

себя на компе-пылесосе (сходство: всасывает

этого файла в строке, которую мы рассматри-

которую нетбастор отправит обидчику, если ты

все что надо и не надо). Здесь есть возмож-

âàåì (Tree file to send on directory list).

нажмешь на кнопку Send Message(s). Â ïîëå

ность указать путь к почтовому трояну,

Wave to play on notify. Здесь указывается путь к

количество поставь 9999. Так веселее. :)

бэкдор-трояну или просто вирусу. А можно

звуковому файлу, который будет радостно тебе

скрепить почтового трояна и бэкдор вместе,

сообщать о подключении к тебе трояном.

Открываем Windows. Здесь ставишь список

Теперь

открываем

закладку Scan. Здесь ты

чтобы

было надежнее. ;)

якобы активных программ,

òèïà

exploer.exe

Tree

file to send on directory list. Ýòà ôè÷à

äëÿ

можешь

проверить,

не заражен ли ты трояном

Patch.exe, Nuke2000.exe

è,

например, но

-

ïðîñ-

НетБас.

Неужели,

заражен? Не страшно: Нет-

мер твоей ICQ.

òåõ,

êòî óæå èìåë äåëî ñ NetBuster`îì. Íå

òàÿ

фича, т.ч. придется

повозиться. Выбран-

Бастор

быстро

вылечит твой комп.

Все. Можешь отдыхать:

òû

óæå

натянул того,

íûé

файл показывает содержание якобы твое-

В следующий закладке Various все гениталь-

кто подрубится к тебе нетбасом!

Теперь вклю

-

го диска (дерево диска с

файлами). Оставлять

но просто. :)

чай НетБастер, если хочется получить кайф как

Don`t disoconnect. И все остальное, кроме

можно скорее. Имеет смысл зайти в чат, где

его таким, как он есть, - нельзя, т.к. его содер-

Есть два способа

Notify even. Последнее делается для того,

сидят хацкеры, и сообщить: “Пацаны, я тук ла-

жание многим уже известно.

другим:

чтобы прога не орала каждый раз: Вы не зара-

мака запеленговал, у него нетбасище стоит и

сделать так, чтобы он стал

редакторе и отре-

жены нетбасом!

20 асек 6-значных на винте валяются!”. Припи-

1. Открыть его в текстовом

Version Information: здесь я советую поста-

сав свой IP. В лом писать это инфо? Тогда мо-

дактировать до неузнаваемости, не забыв соз-

дать на диске СУПЕР проги. ;) Метод номер

вить 1.6, т.к. ИМХО, он наиболее распространен.

жешь просто ждать, когда кто-нибудь проска-

один - утомителен и скучен.

Закладка Messages. Открываем Info messages.

нит диапазон с твоим IP и найдет тебя. Ну, вот

2. Создать новый файл обмана. Нужно найти

Здесь исправляем Login ID: на любое имя и фа-

вроде и все. Я побежал, а то у меня NetBuster

комп, зараженный НетБасом, либо заразить

милию, например, на “Харлампий Ширинкин”.

орет - опять какой-то баклан подрубился. :)

XAKEP > АПРЕЛЬ’Y2K

31337/PC ZONE

0023

35

распечатывание текста на удаленном принте-

роли в почтовом клиенте The Bat! и пароль для

ре. Также, если вам интересно, возможно из-

входа в сеть Интернет. Кроме этой приятной и по-

менить разрешение экрана на удаленном

лезной функции, с помощью “подружки” вы смо-

компьютере.

жете посылать системные сообщения на удален-

Последняя и самая богатая инструментами зак-

ный компьютер,

ладка - это extra fun. Вот здесь-то и раскроют-

ся все ваши гениальные планы по управлению

демонстрировать картинки в формате bmp, соп-

отдаленным компьютером. Для начала откроем

ровождая проигрыванием приятных мелодий, за-

панель CD-ROM и поменяем местами кнопки

писанных в музыкальные файлы в формате wav и

на мыши (для большей эргономики). Мало?

mid. Запускать любые ехе файлы, работать с фай-

Немножко похулиганим, уподобившись так на-

лами и подкаталогами, используя файловый ме-

зываемым “хакерам”, спрятав курсор мыши и

неджер и совершая любые операции над файла-

напоследок перезагрузив компьютер, предва-

ми и файловой структурой.

рительно запустив клавиатурного шпиона, ко-

О возможностях программы мы рассказали, а те-

все. Ищет на жестком диске пароли и выдает их

торый будет работать и в “офф-лайне”. После

перь немного о том, как происходит процесс ра-

вам, показывает всю информацию об удаленном

того как человек зайдет в сеть, мы просто пос-

боты. Для начала требуется узнать IP-адрес уда-

компьютере, вплоть до ключа операционной

мотрим, что он там совсем недавно набирал. В

ленного компьютера и, введя его, нажать на кно-

системы Windows. DT поможет вам организовы-

этих данных, возможно, будет заключен пароль

почку connect. После соединения мы можем де-

вать ФТП сервер на администрируемом компью-

от Dial-up соединения.

лать то, что захотим, а, в общем-то, что позволит

тере и позволит редактировать реестр. Для про-

клиент. Первым делом после соединения сове-

ведения вашего досуга предусмотрены функции

туем нажать на show passes, записав искомый па-

развлекательного плана. Такие, как открытие

Girl Friend

роль и имя пользователя для доступа в Интернет.

CD-Rom, заморозка курсора манипулятора,

Нажав на custom, вы сможете вводить текстовые

включение шлейфа курсора и обмен кнопок ма-

Эту систему называют “подружкой” и, как это ни

команды, количество которых достаточно велико.

нипулятора местами.

пошло звучит, именно с ней вы проведете неза-

Среди них есть такие важные вещи, как удаленное

программы в коробочной версии: 1435$

производителя: http://subseven.slak.org/

программы в коробочной версии: 560$

производителя: http://www.gfailure.da.ru/

программы в коробочной версии: 691$

производителя: http://deept.cjb.net/

Öåíà

Ñàéò

Öåíà

Ñàéò

Öåíà

Ñàéò

бываемое время, особенно если вам установили

нажатие клавиши RESET. А введя команду HELP,

Как у программного обеспечения хорошего

серверную часть. Она [ваша новоявленная “под-

вы сможете увидеть подробно е, удобно устроен-

класса - естественно, имеется возможность

руга”] умеет почти все... готовить, стирать, уби-

ное руководство пользователя. Теперь вам досту-

поставить пароль на сервер. Так что различные

рать и т.д. и т.п. Это единственная программа об-

пен полный список всех команд, адаптированных

темные личности, называющие себя “хакера-

зора, с помощью которой удалось получить лег-

для текстового ввода. Очень приятный момент в

ми”, не смогут помешать вашей администра-

комысленно забытые пароли, находившиеся в

организации работы: данное приложение можно

тивной работе. Это наш выбор, выбор автори-

“не кэшированном” виде. Были определены па-

минимизировать, оставив иконку на системной

тетной тестовой лаборатории.

панели, путем нажатия клавиши F12.

Deep Throat

Ну, если позволите, это классика. Находящаяся

В заключение хотелось бы отметить, что наша ла-

на таком же высоком уровне, как и широко из-

боратория не имеет возможности предоставить

вестный Back Orifice (по заключению профессио-

вам данные по всем существующим комплексам

налов). Но... сотрудникам тестовой лаборатории

удаленного управления, т.к. было выпущено (и да-

она понравилась больше, чем Back Orifice. Ог-

же выпускается) очень много аналогичных средств

ромное количество функций и удобная система

администрирования. И в наш обзор попали лишь

управления, в работе оказавшаяся абсолютно

самые яркие образцы, преградив путь некачес-

интерактивной. Программа умеет все или почти

твенным. Мы хотели бы призвать вас не приобре-

тать дешевые подделки таких хороших программ,

а покупать лишь лицензионные коробочные вер-

сии этих программ. Надеемся, что данный мате-

риал послужит вам основной вехой при выборе

высококлассной системы удаленного админис-

трирования. До свидания и до новых встреч в ла-

боратории XAKEP Labs.

36

0024

31337/PC ZONE

XAKEP > АПРЕЛЬ’Y2K

Половая почта

Терехов Михаил (stranger@xakep.ru) & Zелененко Махх (maxx@xakep.ru)

Когда говоришь о получении халявного Инета, то естественно вспоминаешь о такой полезной

софтине, как почтовые трояны. Почтовый троян это - рулезная прога, которая услужливо предос-

тавит все пароли врага для доступа в сеть, пришлет хакнутой вражескую аську. Ко всему этому

счастью я с нетерпением жду троянчик, который позволит умыкнуть его девчонку, записную

книжку с телефонами его подружек и бумажник со штукой баксов. :) Э-эх, мечты, все мечты.

А пока в реальности огорчает тот факт, что некоторые троянчики шлют инфу не только тебе, но

и авторам. :( Грустно, но можно понять: труд людей на твою пользу должен хоть как-то оплачи-

ваться. Чем хороши эти программы? Запустил один раз и получай почту со свежими паролями,

никаких тебе оповещений, подключений и всего такого. А теперь немного о них самих...

Новое - хорошо добытое старое!

ля начала вспомним о несомнен-

ном гранде этой группы софта -

Äтрояне Курта и Дока - Stealth’е. В

этот момент все профи могут пас-

ть ниц, наполнив воздух шапками и восторжен-

ными криками (если мне разрешат, я тоже к

ним присоединюсь). :) Из хороших новостей:

программа снабжена классным конфигурато-

ром, позволяющим хорошо замаскировать

троян, например, под самораспаковывающий-

ся архив, снабдив ее соответствующим сооб-

щением об ошибке (это облегчает впарива-

ние). Присылает информацию о системе, паро-

ли из удаленного доступа и E-dialer’а, но их

необходимо расшифровывать. Ловит все но-

мера Аси и мыльные адреса жертвы. Из плохих

новостей: программа давно не обновлялась и

щедро опекаема ФСБ, то есть отслеживается

всеми антивирусами. Подойдет только для

разводки ламеров, у которых нет ни антивиру-

са, ни фаервола. Сконфигурированный троян

весит где-то 65КВ (больше - можно, меньше -

ни-ни), :) а его конфигуратор 152КВ (его раз-

меры стабильны).

Прогу можно снять по адресу:

http://xakep.virtualave.net/StlthCfg.exe .

NS: кое что о соседе...

Просто и лаконично - NS. Полное название

проги привести не могу, т.к. таких слов просто

не знаю. :) Но вот ты, надеюсь, сможешь его

понять, скачав себе программу. Скажу лишь,

что она, как и Stealth, очень известна в россий-

ской части Инета, а значит очень внимательно

XAKEP > АПРЕЛЬ’Y2K

31337/PC ZONE

0025

37

отслеживается создателями антивирусов. NS

Выдает тебе пароли для входа в Инет, номера

ная инструкция по использованию в описа-

умеет делать целое море полезных дел, факти-

Аси и пароли к ним. От других отличается тем,

нии проги.

чески является наиболее полнофункциональ-

что высылает тебе не только пароль и имя

Ну и, наконец, если у жертвы стоит ICQ99a (или

ным из всех троянов. Мылит тебе все пароли

пользователя, но и тучу другой полезной инфы.

99b с уровнем безопасности Low), то все уины

на соединение, причем умеет вынимать их да-

Программа позволяет присоединять файлы и

теперь твои, так как пароли от них тоже придут

же из чрева E-dialer’а. Для удобства соедине-

считывает все пароли из pwl-кэша. Единствен-

вместе с письмом. Единственное узкое место

ния сдирает с машины жертвы все скрипты, ис-

ное неудобство проги состоит в том, что троян

проги - для получения паролей можно исполь-

пользуемые для дозвона. Присылает пассы из

конфигурируется текстовым файлом. Впрочем,

зовать только ящики на mail.ru. Что является

ФТП-клиентов, вроде CuteFTP. Делает листинг

в свете хороших пояснений, сделанных авто-

неудобством, но неудобством не смертельным.

UIN’ов жертвы и паролей к ним. Определяет,

ром, это перестает быть недостатком. Как и

Снаряженный троян весит 28 кило, а архив

серверы каких троянов стоят на компьютере, их

два предыдущих представителя обзора, этот

проги 132 кило.

пароли и порт, с которого работают. Очень

образец определяется всеми антивирусами.

Прогу можно снять по адресу:

удобно и то, что высылается и IP жертвы.

Размер архива с трояном 64 кило, размер сна-

http://dialup.netfirms.com/moscowv1_4.zip

Обещают встроить функцию стирки грязного

ряженного трояна 47 кило.

белья и приготовления кофе по утрам. :) Соф-

Прогу можно снять по адресу:

тина имеет хороший графический конфигура-

http://users.ezwv.com/~itnet/hardsoft/file

Помедленнее, пожалуйста - я

тор трояна. А для Advanced User`ов предусмот-

s/EPS165.ZIP

записываю!

рено конфигурирование в текстовом режиме.

Данная прога понравилась классными сред-

Hooker - классное название, которое должно

ствами маскировки - ее можно прикрепить к

Героев надо знать в лицо!

вызвать громкое одобрение и уважение у бок-

картинке (также любому другому файлу). И при

А теперь немного об истории и о людях, кото-

серов, :)) да и у тебя оно вызовет уважение,

запуске на экране появится картинка, отвле-

рые ее делали, часто называясь героями.

когда узнаешь о всех фишках проги!

кающая внимание ушастого от процесса пере-

Да-да, сейчас мы поговорим о Stirliz`e.

Вообще изначально программа была класси-

Все просто и надежно, как у настоящих русских

ческим key logger’ом, но сегодня это настоя-

шпионов. ШтЫрлиц не пришлет тебе номера

щий троян. Который умеет тырить кэширован-

аси и фтп паролей, зато вытащит все пароли из

ные пароли, параллельно отслеживая нажатия

той проги, что установила соединение с Ине-

на клавиатуре, чтобы в дальнейшем выслать

том, например, мне она прислала незакэширо-

тебе. На проверку орфографии и пунктуации,

ванный пароль из E-dialer’а. Данная софтина

очевидно. :) Для маньяков предусмотрена фун-

настраивается на твое мыло при помощи гра-

кция самоуничтожения софтины методом нап-

фического конфигуратора, единственная осо-

равленного ядерного взрыва. Так что отправив

бенность которого состоит в том, что адрес

тебе нужную инфу, прога может просто самоу-

SMTP сервака должен вводиться в виде IP. Вес

ничтожиться вместе с компьютером. :) Данный

снаряженного для работы трояна 27 кило, а ее

боевик снабжен хорошим графическим конфи-

архива 195 кило (просто там конфигуратор здо-

гуратором, но может правиться и в текстовом

ровый). Определяется всеми антивирами, и

варианте. При конфигурации трояна можно оп-

уже давно не было обновлений, тем не менее

ределить: как и откуда он будет запускаться,

можно использовать при взломе хитрового юз-

где и как будет прописываться в реестре, а так-

вера, который не держит никакой защиты, а

же имя запускаемого файла и динамических

просто вводит пароли вручную.

библиотек. Это очень помогает при его маски-

Прогу можно снять по адресу:

ровке, а вот определяемость антивирами очень

http://lightning.prohosting.com/~sys666/fi

даже мешает. Вес зипа с прогой 81КВ, а вес

les/shtirliz.zip

снаряженного трояна 52КВ.

Прогу можно снять по адресу:

Ýòî îí, ýòî îí - íàø

http://egentrojans.netfirms.com/HOKER

24S.ZIP

московский почтальон!

сылки паролей. В комплект входит классный

Прога New Moscow Trojan - вот он самый боль-

Резать - однозначно!

readme, из которого ты можешь узнать о поис-

шой конкурент почивающему на лаврах

ке жертвы, и методах ее [жертвы] разводки.

Stealth’у. Появился не очень давно и на момент

Ну, вот с обзором и все. Впервые ничего не по-

Архив с прогой весит 56 кило, а снаряженный

написания материала не определялся ни одним

советую тем, кто дочитал до этого места. Вы-

троян 14 кило (в варианте без картинки).

антивирником. Куча всяких функций, как полез-

бирай сам ту прогу, что душе угодна. Выбор

Прогу можно снять по адресу:

ных, так и не очень. Шлет тебе айпишник жер-

трояна для впаривания - дело сугубо интимное

http://lightning.prohosting.com/~sys666/fi

твы, номера его Аси и инфу о системе. Естес-

и вмешательства со стороны не терпит. :)

les/ns237.zip

твенно, не уйдут от расправы и кэшированные

Единственное напомню, что многие представи-

пароли системы, а также телефоны и свойства

тели столь достойного раздела программного

Шлю пароли - ты тожев доле!

соединения. Для удобства использования

обеспечения имеют отвратительную привычку

присланного выдает тебе еще и все скрипты

высылать пароли не только тебе, но и так назы-

EPS II - очень неплохой жучок с целой кучей

жертвы. Делает листинг посещенных юзве-

ваемым “третьим лицам”. Т.е. стоит активно

функций. Высылает всю информацию о ком-

рем страниц и паролей к ним, если таковые

задуматься перед тем, как тестировать бойцов

пьютере, начиная с имени пользователя и за-

имелись. Также высылает тебе пароли из

трои на собственном компе или на других дос-

канчивая типом процессора и операционки.

Edialer.ini. К последним прилагается подроб-

тойных людях. :)