Программные закладки: типы, способы внедрения и защиты

      Короче  говоря, троянской можно считать  любую программу, которая втайне от пользователя выполняет какие-то нежелательные для него действия. Эти действия могут быть любыми — от определения регистрационных номеров программного обеспечения, установленного на компьютере, до составления списка каталогов на его жестком диске. А сама троянская программа может маскироваться под текстовый редактор, под сетевую утилиту или любую программу, которую пользователь пожелает установить на свой компьютер.

Рассмотрим наиболее известные примеры троянских  программ.

1. Back Orifice

      Троянский конь Back Orifice (BO) по своей сути является достаточно мощной утилитой удаленного администрирования компьютеров в сети. Back Orifice является системой удаленного администрирования, позволяющей пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. В локальной сети или через Internet, BO “предоставляет пользователю больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера” - сказано в рекламном объявлении на одной из хакерских Web-страниц.

      Единственная  особенность этой программы заставляет классифицировать ее как вредную  троянскую программу: отсутствие предупреждения об инсталляции и запуске. При  запуске троянец устанавливает  себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на троянца отсутствует в списке активных приложений. В результате "пользователь" этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

      Троянец распространяется как пакет из нескольких программ и документации. Все программы  написаны на C++ и компилированы Microsoft Visual C++. Все программы имеют формат Portable Executable и могут выполняться только в среде Win32.

      Основной  программой в пакете является BOSERVE.EXE (затем этот файл может быть обнаружен  под различными именами) - это основная "серверная" компонента троянца, которая ждет вызовов от удаленных "клиентов".

      Вторым  файлом является BOCONFIG.EXE, конфигурирующая "сервер" и позволяющая "прикрепить" BOSERVE.EXE к каким-либо другим файлам (как это делают вирусы). При запуске таких приложений вирус "выкусывает" их из зараженного файла и запускает на выполнение без каких-либо побочных эффектов.

      В пакете также присутствуют две "клиентские" утилиты (консоль и графический  интерфейс), они позволяют "клиенту" управлять удаленным "сервером". Еще две программы являются утилитами  компрессии/декомпрессии файлов - они  используются для копирования файлов с/на удаленный "сервер". 

Рис. 1. Рабочее  окно программы Back Orifice 2000 

      При запуске троянец инициализирует сокеты Windows, создает файл WINDLL.DLL в системном каталоге Windows, определяет адреса нескольких Windiows API, ищет свою копию в памяти и выгружает ее из памяти, если таковая обнаружена (т.е. обновляет свою версию). Затем троянец копирует себя в системный каталог Windows и регистрирует в реестре как автоматически запускаемый процесс:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.

      Затем троянец перехватывает один из сокетов Windows (по умолчанию - сокет 31337) и остается в памяти Windows как скрытое приложение (т.е. без активного окна и ссылки в списке приложений). Основная процедура перехвата сообщений затем ждет команд от удаленного клиента. Сокеты команды передаются в зашифрованном виде. В зависимости от команды троянец выполняет следующие действия: 

• высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т.п.; 
• разрешает удаленный доступ к дискам (share); 
• ищет файл на дисках; 
• посылает/принимает файл, уничтожает, копирует, переименовывает, исполняет любой файл; 
• создает/уничтожает каталог; 
• упаковывает/распаковывает файл; 
• отключает текущего пользователя от сети; 
• завешивает компьютер; 
• высылает список активных процессов; 
• выгружает указанный процесс; 
• подключается к сетевым ресурсам; 
• получает и отправляет кешированные пароли (которые использовались пользователем в течение текущего сеанса), ищет пароль для ScreenSaver (расшифровывает и отправляет); 
• выводит MessageBox;
• читает/модифицирует системный реестр; 
• открывает/перенаправляет другие сокеты TCP/IP; 
• поддерживает протокол HTTP и эмулирует Web-сервер (т.е. троянцем можно управлять при помощи браузера); 
• проигрывает звуковые файлы; 
• перехватывает, запоминает и затем высылает строки, вводимые с клавиатуры в момент подсоединения компьютера к сети; 

и т.д. 

      Троянец также позволяет расширить список своих функций при помощи подключаемых ресурсов (plug-in). Они могут быть переданы на "сервер" и инсталлированы там  как часть троянца и в дальнейшем могут выполнять практически  любые действия на пораженном компьютере.

2. NetBus

      NetBus - это вирус из серии backdoor. Вирусы этого типа, попав на компьютер (та часть, которая попадает на компьютер жертвы называется сервером) и заразив его, резервируют под себя порт и добавляют себя в автозагрузку, если это указано в их программе. После этих действий злоумышленник (владеющий клиентом или центром управления) может подключиться к этому компьютеру (если знает его IP-адрес, а в некоторых случаях требуется и пароль к серверу) и делать с компьютером, что душе угодно (это ограничивается лишь фантазией и возможностями вируса). Таким образом, сервер становится "глазами" и "руками" на компьютере жертвы.

      NetBus более прост в обращении по  сравнению с Back Orifice.

      Оригинальный  пакет NetBus`а содержит в себе следующие файлы:

• NetBus.exe - клиент (центр управления)
• Patch.exe - сервер. Он написан на Inprise Delphi.
• NetBus.rtf - описание NetBus`а автором.

      Чтобы заразить компьютер, требуется запустить на компьютере жертвы сервер NetBus`а (Patch.exe). Запустить его можно, как обычную консольную программу или как CGI-приложение (из web-браузера). Сервер можно запускать со следующими ключами:

• /noadd - для одноразового использования NetBus`а. Сервер только загружает себя только в оперативную память, не копирует себя в папку с Windows и не добавляет свой ключ в реестр
• /port:х – указывает, на какой надо сесть порт (по умолчанию 12345), где х - номер порта. Этот ключ появился в версии 1.7.
• /pass:х - назначает пароль для доступа к серверу, где х - пароль
• /remove - удаляет сервер из оперативной памяти и ключ в реестре для автозагрузки (сам сервер не удаляется из папки с Windows)

      После запуска Patch.exe сервер копирует себя в папку с Windows (NetBus написан под Windows NT/9x), создает там файл своей конфигурации Patch.ini и файл KeyHook.dll. Далее сервер добавляет ключ в реестр для своей автозагрузки при каждом запуском Windows.

Ключ: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
Параметр: Patch 
Значение параметра: C:\Windows\Patch.exe /nomsg

      Стоит заметить, что если имя сервера  имело другое название (например, cool.exe), то соответственно и файлы в папке  с Windows будут иметь название cool, а значение в ключе реестра имя параметра изменится тоже на cool!!! Достойно внимания еще то, что если запустить сервер без ключей (/port или /pass), то в реестре создается ключ, соответствующий имени сервера, (например, HKEY_CURRENT_USER\PATCH\), а если с ключами то создается файл конфигурации Patch.ini (где хранится пароль, порт и т.д.).

      Далее cервер открывает socket в режиме ожидания на указанном порту и ждет подключения клиента. Когда происходит попытка подключиться к этому порту, то NetBus сообщает, что это собственно он и выдает свою версию. И если пароль не назначен, то происходит соединение. Доступ к серверу разрешается по 4444 порту.

      NetBus использует для связи двух  компьютеров протокол TCP и не шифрует  пакеты данных, как Back Orifice.  

Рис. 2. Рабочее  окно программы NetBus 1.7. 

      Опишем  вкратце функциональные возможности  программы:

• Host name/IP - задание имени хоста или IP-адреса жертвы.
• Port – порт, на котором висит сервер.
• Connect!/Cancel - присоединиться/отсоединиться от компьютера
• Scan! - просканировать диапазон адресов на наличие на них сервера NetBus.
• About – раздел «О программе».
• Memo – раздел «Записная книжка».
• Add IP - запомнить введенный IP-адрес.
• Del IP - удалить введенный IP-адрес.
• Server admin - администрирование сервером NetBus`а. Можно добавить/удалить IP-адреса, с которых можно подсоединиться к серверу, выгрузить сервер из оперативной памяти или удалить его.
• Open CD-ROM/Close CD-ROM - выдвинуть/задвинуть каретку CD-ROM’a. Можно задать интервал выезжания (поставив галочку возле in interval) и количество выездов (Function delay).
• Show images - показать изображение (в BMP/JPG-формате). Требуется ввести его адрес.
• Swap mouse/Restore mouse - поменять/вернуть клавиши мыши местами.
• Start program - запускает программу по указанному адресу.
• Msg manager - позволяет отсылать на зараженный компьютер сообщения и присылать ответы на них.
• Screendump - делает снимок экрана и отсылает на компьютер с клиентом.
• Get info - информация о компьютере жертвы.
• Port redirect - перенаправление на произвольном компьютере произвольного порта.
• Play sound - проиграть WAV-файл.
• Exit Windows - позволяет отлогинить пользователя, перезагрузить или выключить компьютер.
• Send text - если в это время находятся активные поля для ввода текста, то туда вставится набранный текст.
• Active wnds - список активных окон. Можно удалить или сделать активными приведенные в списке окна.
• App redirect - перенаправление ввода-вывода консольного приложения на заданный порт.
• Mouse pos - установка мыши на координаты заданные в верхних полях.
• Listen - в появившемся окне выводятся все нажатия клавиш и возможно нажатие некоторых функциональных клавиш.
• Sound system - позволяет изменить звуковые настройки и прослушать музыку, которая воспроизводится на компьютере.
• Server setup - позволяет настроить сервер (например, поставить пароль).
• Control mouse/Stop control - включить/выключить слежку за координатами мышки на компьютере жертвы.
• Go to URL - открыть назначенный URL в браузере, назначенном по умолчанию.
• Key manager - назначает воспроизведение звуков при нажатии клавиш, заблокировать/разблокировать выбранные клавиши или всю клавиатуру в целом.
• File manager - управление файловой системой компьютера с сервером (чтение/запись/удаление файлов).

3. D.I.R.T.

      Система D.I.R.T., согласно официальной политике компании Codex Data Systems Inc., разработавшей ее, предназначается для использования исключительно правоохранительными органами и имеет стоимость, в зависимости от конфигурации, от 2 до 200 тысяч долларов. Независимые же эксперты утверждают, что по функциональности система D.I.R.T. ненамного превосходит широко известные бесплатные хакерские программы такие как Back Orifice.

      По  утверждению разработчиков, D.I.R.T. используется для борьбы с терроризмом, детской  порнографией и распространением наркотиков. Однако специалисты видят серьезную опасность в применении столь мощной системы мониторинга и удаленного администрирования для промышленного шпионажа и ведения информационной войны.

      Вопреки маркетинговой политике компании Codex Data Systems, многие называют D.I.R.T. не иначе, как троянской программой. Антивирусные компании с самого момента появления D.I.R.T. в 1998 году находятся в замешательстве и не знают, как реагировать на данный факт. Некоторые из них все же пошли на решительный шаг и включили D.I.R.T. в свои вирусные базы. Так, например, антивирусные программы производства "Лаборатории Касперского" и Trend Micro определяют файл coredll.dat, являющийся компонентом D.I.R.T., как троянскую программу под названием Trojan.PSW.Johar, или просто JOHAR. Кроме того, клиентская часть D.I.R.T., устанавливаемая на компьютер, являющийся объектом контроля, имеет по умолчанию такие же файлы, что и JOHAR - desktop.exe, desktop.log and desktop.dll.

      Принципы  работы D.I.R.T.

      Система состоит из клиентской и серверной  частей. Основные функции программы - это перехват всех нажатий клавиш и невидимая отсылка информации на заданный адрес электронной почты, который контролируется командным центром D.I.R.T. При этом отсутствует необходимость в физическом доступе к клиентскому компьютеру. Дополнительные возможности D.I.R.T. включают удаленный доступ к файлам через Интернет или локальную сеть, удаленное управление системой (запуск программ, редактирование реестра и др.), возможность перехвата информации в режиме реального времени, удаленный захват экрана и звука (если к клиентскому компьютеру подключен микрофон).

      Основой клиентской части является "жучок", встроенный для маскировки в какой-либо обычный исполнимый файл или документ Microsoft Office. При запуске или открытии "зараженного" файла, жучок активизируется и невидимо устанавливается в системе. В его задачи входит перехват нажатий клавиш, выполнение команд, поступающих от серверной части, отправка зашифрованных файлов отчета на заданный адрес электронной почты.