This page has been robot translated, sorry for typos if any. Original content here.

Ловимо шпигуна або "Куди комп'ютер пошту шле ..."

Зараз вже важко знайти людину, яка б не чула слова "троян", та й хіба мало інших програм, які непомітно від користувача висилають, яку або інфу про нього. Далі я напишу про те, як дізнатися, кому і що (наприклад ваші паролі) непомітно відсилають програми типу "троянський кінь".

Прнціпи дії даних програм полягає в тому, що зловмисник отримує доступ до файлів і папок жорсткого диска, може запускати різні додатки на у вас на комп'ютері і "фотографувати" екран. Троян складається з двох програм: сервер і кліент.Сервер це програма, яка працює на машині жертви і виконує команди клієнта. А клієнт знаходиться у зловмисника за допомогою, якого він керує сервером. При попаданні на комп'ютер програма записується в автозапуск і невидимо стартує разом з операційною системою. Троян можна закачати з інтернету з разом з невинною програмою тобто він з нею склеєний Використовуються трояни дуже просто, треба змусити жертву запустити сервер програми (якщо ви в локальній мережі то можна і самому підійти і запустити :) ) Потім в клієнтської частини ввести ip адресу жертви, натиснути connect .....

Захист: Використовуйте свіжі антивіруси AVP, DrWeb і не запускайте невідомі програми (особливо прийшли з поштою), а так же проги з досовської іконкою (синій квадрат). Так само ефективним методом захисту є Firewall

Як трояни посилають ваші паролі

Як і інші поштові програми, для відправки листів трояни використовують протокол SMTP (Simple Mail Transfer Protocol), тобто для того щоб послати лист, програма з'єднується з SMTP-сервером і посилає його, найцікавіше, що весь цей процес можна відстежити за допомогою сніффером. (Сніффер це така програма яка "виловлює" потрібну інфу, передану як в мережі так і з окремої машини якщо на ній встановлена, тобто можна спостерігати які дані відправляє і отримує ваш комп'ютер) Я буду розглядати на прикладі сніффер Network Spy, взагалі підійде будь-який сниффер під Windows. Для початку треба налаштувати Net Spy, так щоб відображалася лише потрібна нам інформація, а службова типу arp, icmp ... пакетів ігнорувалася, для цього треба запустити програму і зайти в налаштування фільтрів: Меню "Options" У ньому "Manage rules ... "

Тобто залишиться тільки TCP.

Коли ж троян буде відсилати паролі? природно при з'єднанні з инетом а можливо, що тільки при появі нового з'єднання і з ним нових паролів. Так що створюємо ще одне дайлап з'єднання, з паролем Anti- Smile happy це те що "хакер" отримає в листі від свого трояна :) Відкриваємо сниффер і запускаємо його (натисканням на зелену стрілку), єднаємося з инетом по старому з'єднанню, і чекаємо коли сервер трояна, почне слати наші паролі, приблизно через хвилину, може і більше ви побачите приблизно наступне:

Тобто NetSpy записує все, що передається smtp-сервера, і тепер уже не важко за наявною інформацією дізнатися кому і що було відправлено :) У кожному рядку відображений один пакет: у першому стовпчику написано час, у другому IP-адрескомпьютера що послав пакет, в третьому-ip-адреса призначення. Якщо зайти в меню "Action" і вибрати там "Resolve IP's" то IP-адреси візьмуть звичайний вид і стане зрозуміло яким smtp-сервером користується програма, для відправки пошти. Потім йде розмір і в кінці зазначений тип протоколу, у нас це smtp тобто відразу зрозуміло що це відправка пошти, а якщо наприклад POP3, IMAP4, то це доставка листів з сервера, ну а HTTP і так зрозуміло .... Тепер двічі клацнувши на будь-який рядку, можна "Декодувати" цей пакет, у верхній частині вказана вся інформація про нього: MAC і IP-адреси звідки і куди прямує, тип протоколу, TTL, розмір і т.д. а в нижній частині передана інформація. Виберіть найбільші пакети і подивіться (переходити від одного до іншого пакету можна за допомогою стрілок "вперд", "назад" у вікні з декодувати пакетом) в них можна знайти заголовок листа з адресою одержувача, а так же текст листа.

Якщо ви хочете перевірити як це "працює" не чекаючи троянів, то скористайтеся будь-якої поштової програмою.

Як троян оновлюється

Крім вислання паролів у багатьох троянів є функція "самооновлення" це коли він викачує з инета файл і запускає його, якщо це так то в вікні сніффер, ще з'являться пакети передаються по протоколу http (80-й порт), Так само як і в попередньому випадку треба зберегти все в файл, далі знову скористаємося пошуком по тексту, на цей раз треба шукати слово "GET" після нього зазначений запитуваний адресу: