Для паникёров по NOD 32!Читать внимательно!!!
Привет. Я думаю ты не просто так сюда попал, поэтому не буду морочить тебе мозги и приступлю. Буквально на днях я сам решил занятся "взломом", думал попробовать и всякое такое, ведь это интересно)) И так начну свою статью с небольшого обьяснения. Вот вы задумали взломать чей-то комп(у меня например больше возможностей, так как у меня есть сеть, а в ней около 12000 челов он-лайн, и есть над кем можно по эксперементировать). Тоесть вы хотите попасть на чужой комп и сделать там что-нить, например посматреть его список файлов, или скачать у него с диска, или удалить. И скажу вам вы будете разочарованы, так как это просто так не возможно сделать, просто установить у себя на компе какую-нить прогу и ввести там IP адрес жертвы и все... НЕТ, такого не будет. НО, я обьсню как можно сделать это немного посложнее.
И так приступим к описание, что же такое это НетБас и что он делает.
Это программа удаленного администрирования, НО она написана так что бы жертва даже не знала о ее появлении, а вы могли полностью контролировать комп жертвы. В этот пакет вложено множество функций, от открытия СД-рома до Управления файловой системой. Но об этом позже..
Немного описания:
NetBus - это вирус из серии backdoor. Вирусы этого типа попав на компьютер (та часть, которая попадает на компьютер жертвы называется сервером) и заразив его резервируют под себя порт и добавляют себя в автозагрузку (если им это указанно). После этих действий злоумышленник (владеющий клиентом или центром управления) может подключиться к этому компьютеру (если знает его IP-адрес, а в некоторых случаях требуется и пароль к серверу) и делать с компьютером, что душе угодно (это ограничивается лишь фантазией и возможностями вируса). Таким образом, сервер становится "глазами" и "руками" на компьютере жертвы.
Наибольшую известность получили два backdoor`а: NetBus и BackOrifice (BO). BO - более функциональный (его написал "Культ мертвой коровы"), но NetBus более прост в обращении. Для написания этой статьи я пользовался NetBus`ом 1.7 ( у NetBus`а 1.6 немного меньше функциональных возможностей, но в целом они очень похожи). Написан он (NetBus 1.6/1.7) в 1998 году, а его автор Carl-Fredrik Neikter.
После нее уже вышло несколько версий 2.* Вторые версии NetBus`а являются уже не бесплатными и требуют регистрации, но достать S/N в Интернете не составит труда.
Теперь давайте вплотную приступим к изучению этой проги. Оригинальный пакет NetBus`а содержит в себе следующие файлы:
* NetBus.exe - клиент (центр управления)
* Patch.exe - сервер. Он написан на Inprise Delphi.
* NetBus.rtf - описание NetBus`а автором (на английском)
Для того чтобы заразить компьютер, требуется запустить на компьютере жертвы сервер NetBus`а (Patch.exe). Запустить его можно, как обычную консольную программу или как CGI-приложение (из web-броузера). Сервер можно запускать со следующими ключами:
* /noadd - для одноразового использования NetBus`а. Сервер только загружает себя только в оперативку и не копирует себя в папку с виндой и не добавляет свой ключ в реестр
* /port:х - указывает на какой надо сесть порт (по умолчанию 12345), где х - номер порта. Этот ключ появился в версии 1.7
* /pass:х - назначает пароль для доступа к серверу, где х - пароль
* /remove - удаляет сервер из оперативной памяти и ключ в реестре для автозагрузки (сам сервер не удаляется из папки с виндой)
После обычно запуска Patch.exe (кликом мышки), сервер копирует себя в папку с Windows (NetBus написан под Windows NT/9x), создает там файл своей конфигурации Patch.ini и файл KeyHook.dll. Далее сервер добавляет ключ в реестр для своей автозагрузке при каждом запуском винды.
Ключ: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Параметр: Patch
Значение параметра: C:\Windows\Patch.exe /nomsg
Стоит заметить, что если имя сервера имело другое название (например, cool.exe), то соответственно и файлы в папке с виндой будут иметь название cool, а значение в ключе реестра имя параметра изменится тоже на cool!!! Достойно внимания еще то, что если запустить сервер без ключей (/port или /pass), то в реестре создается ключ соответствующий имени сервера (например, HKEY_CURRENT_USER\PATCH\), а если с ключами то создается файл конфигурации Patch.ini (где хранится пароль, порт и т.д.).
Далее cервер открывает socket в режиме ожидания на указанном порту и ждет подключения клиента. Когда происходит попытка подключиться к этому порту, то NetBus сообщает, что это собственно он и говорит свою версию. И если пароль не назначен, то происходит коннект. Стоит обратить внимание и на порт 12346, который используется для служебных целей.
Для дальнейшего изучения этой рульной проги можете себя заразить (желательно с применением ключей), все ровно в конце статьи я расскажу, как избавиться от NetBus`а. Пишем в командной строке следующее:
patсh.exe /port:4444 /noadd
Эта команда одноразово заражает вашу машину. Доступ к серверу разрешается по 4444 порту. Если вы смелый(ая), то можете запустить NetBus без ключа /noadd (например, так сделал я). После этой команды NetBus загружается в оперативку (в Win9x среди процессов он не будет виден и придется его искать более умными прогами) и создает в папке с Windows два файла Patch.ini и KeyHook.dll. NetBus использует для связи двух компьютеров протокол TCP и не шифрует пакеты данных, как BO. Теперь запускаем клиент (NetBus.exe). В поле Host name/IP пишем localhost (то есть ваш хост). В будущем в это поле вы будете вписывать имя хоста или IP-адрес жертвы. В поле Port вписываем 44444 и нажимам на Connect! Если вы все сделали правильно, то должен произойти коннект. Для проверки нажмите Open CD-ROM. Теперь давайте вкратце разберемся с функциональными возможностями проги.
* Host name/IP - здесь задается имя хоста или IP-адрес жертвы
* Port - порт на котором висит сервер
* Connect!/Cancel - подсоединиться/отсоединиться от компьютера
* Scan! - просканировать диапазон адресов на наличие на них сервера NetBus
* About - о программе
* Memo - что-то вроде вашей записной книжки
* Add IP - запомнить введенный IP-адрес
* Del IP - удалить введенный IP-адрес
* Server admin - администрирование сервером NetBus`а. Можно добавить/удалить IP-адреса с которых можно подсоединиться к серверу, выгрузить сервер из оперативки или удалить его
* Open CD-ROM/Close CD-ROM - выдвинуть/задвинуть каретку сидюка. Можно задать интервал выезжания (поставив галочку возле in interval) и количество выездов (Function delay)
* Show images - показать изображение (в BMP/JPG-формате). Требуется ввести его адрес
* Swap mouse/Restore mouse - поменять/вернуть клавиши мыши местами
* Start program - запускает программу по указанному адресу
* Msg manager - позволяет отсылать на зараженный компьютер разные сообщения и присылать ответы на них
* Screendump - делает снимок экрана и отсылает на компьютер с клиентом
* Get info - немного информации и компьютере жертвы
* Port redirect - перенаправление на произвольном компьютере произвольного порта
* Play sound - проиграть WAV-файл
* Exit Windows - позволяет отлогинить пользователя, перезагрузить или выключить комп
* Send text - если в это время находятся активные поля для ввода текста, то туда вставится набранный текст
* Active wnds - список активных окон. Можно удалить или сделать активными приведенные в списке окна
* App redirect - перенаправление ввода-вывода консольного приложения на заданный порт
* Mouse pos - установка мыши на координаты заданные в верхних полях
* Listen - в появившемся окне выводятся все нажатия клавиш, и позволяет понажимать некоторые функциональные клавиши
* Sound system - позволяет изменить звуковые настройки и прослушать музыку играющею на компьютере (d WAV)
* Server setup - позволяет настроить сервер (например, поставить пароль)
* Control mouse/Stop control - включить/выключить слежку за координатами мышки на компе жертвы
* Go to URL - открыть назначенный URL в браузере назначенном по умолчанию
* Key manager - назначает издавать звуки при нажатии клавиш, заблокировать/разблокировать выбранные клавиши или всю клавиатуру в целом
* File manager - управление файловой системой компьютера с сервером (чтение/запись/удаление файлов).
Вот в принципе все возможности NetBus`а. В принципе их довольно много и в большинстве случаев для администрирования удаленного компа хватает. Теперь давайте поговорим, как избавится от сервера заразившего компьютер. Для этого вначале залезем в реестр по ключу от куда может происходить автозагрузка сервера:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Если там есть параметр Patch, то удаляем его, идем в папку с Windows и даем там команду:
patch.exe /remove
Эта команда выгрузит сервер из оперативки и удалит его из автозагрузки. Далее из это папки (с Windows) удаляются следующие файлы: patch.exe, patch.ini (его может не быть) и KeyHook.dll . Вот и все. Правда есть одно НО. Если у сервера. который заразил компьютер было иня не Patch.exe , а другого то в реестр и в папке с виндой надо искать записи с именем сервера заразившем комп.
А теперь предупреждения:
В этой статье преведен способ теста НетБас на своем компе, никогда этого НЕ ДЕЛАЙТЕ. Ну правда если вы любите риск можете попробовать, я между прочим запускал, и сильно об этом пожалел. Но просто если у вас получится то вы будете работать с НетБасом лучше. И так обьясню почему не стоит запускать сервер на своем компе, во первых это в том, что вы прочитали из статьи выше, а второе это в том, что вместе с запуском сервера, на ваш комп попадает АЦКИЙ(слабо сказано) вирус, который поражает ВСЕ EXE файлы у вас на компе(он просто в конец EXE файла добавляет свой код), не знаю зачем это было сделано, Но факт есть факт. WIN32.HLLP.Mrak6 или 7. Что он делает, и как протестить сервер у себя и не заразится этим вирусом: способ был получен мною методом проб и ошибок и полностью рабоч. И так, вирус создает в папке WINDOWS\SYSTEM32 папку с названием Netstart, и с файлом svchost.exe, и добавляет ключ автозапуска этого файла, и название у него не простое! это название системной ВИНДОФС процедуры, просто скрытие вируса под таким именем, вы как бы заглядываете в диспетчер задач и не видите левых процессов, так как svchost.exe - не левый, а вирус - левый, но маскируется под таким именем)) И так, как же его заблокировать? ДА ЛЕГКО. Ставите себе ZONE ALARM(скачать можно даже с моего сайта), во-первых это считается одним из самых лучших фаерволом в мире(на счет мира не знаю, но для меня точно!), и там есть функция - файловый фаервол. Эта функция контролирует ВСЕ запускаемые процессы, и позволяет блокировать их. И так, перед запуском сервера НетБас, что бы избежать заражение файлов другим вирусом(WIN32.HLLP.Mrak6). Создайте в папке WINDOWS\SYSTEM32 папку с названием Netstart, и создайте в ней файл svchost.exe, как угодно, например создайте тестовый документ и переименуйте расширение из txt в exe. А потом зайдите в Зоне Аларм, и выберите этот файл, и нажмите убить при запуске, в поле "уровень доверия". И тоесть, как только вы запустите сервер НетБас, запустится только сервер, но ничего лишнего, вирус тоже создастся, но не запустится, так как файл будет заблокирован.
УУУУ, ну ладно, расскажу теперь если вы вдруг заразились этим негодяйством, после запуска, у вас запуститься и появится новый svchost, и это будет вирус, буквально за 3 мин он обнаружит все ЕХЕ файлы у вас на компе и заразит их. Прикол в том, что эти файлы можно будет восстановить, но восстанавливать умеет их только ДР.ВЕБ, не каспер, не НОД32 вам не помогут(ну помогут только удалть их, я думаю это вам не нужно). Поэтому на всяк случай можете запастись ДР.ВЕБ. Он лечит эти файлы, и обезвреживает ЛЕВЫЙ SVCHOST.
Не забудьте так же выкл антивир при работе с НетБас, так как он будет обнаруживатся антивирусом как вирус. Замечу что в новых версиях НетБаса 2, не обнаружено глюков с всякими вирусами, там только сервер и клиент, ну вирусы они туда не пихали, просто потому, что теперь вам предлагают заплатить за НетБас 2, а тот был бесплатным))) Кстаит про НетБас 2, в нем намного лучше реализована система "администрирования", но намного сложнее запустить сервер удаленно, и там улучшена работа с файловой системой. Спешу заметить, НетБас 2 так же обнаруживается анитивирем, и поэтому прийдется повозится и уловать жертву выключить антивир)) ну это уже ваши проблемы.
ААА, забыл.... Вам же надо как-то впихнуть сервер на комп жертвы, сделать это не легко. Предлогаю, вам склеить эту программу с другой обычой программой или даже с картинкой, сделать это легко, с помощью программы MicroJoiner(google.com - ваш помощник в поиске), старые версии программы обнаруживаются антивирусом как КОНСТРУТОР программ(и намекает на то, что кто-то заюзал эту прогу и в ней может быть троян, или еще что-нить). Но новые версии этой проги не находятся антивирем, и если вы склеите что-нить с НетБасом, то антивир не заметит то, что внутри есть НетБас. А впарить программу, это уже ваще дело. Как юзать прогу найдете де-то на просторах NETа. Она легко осваивается, и весит всего 17 кб!
?
