обратная сторона трояна
 

Всем нам приходят трояны. Они приходят через почту или icq. Обычно мы их удаляем или игнорируем ссылки на них. В статье я распишу один из способов получения выгоды из чужого трояна.

немного о трояне
Всем понятно, что троян куда-то посылает ваши пароль, обычно это почта или гейт. В статье буду рассматривать посылку паролей на почту.

а что несёт в себе троян?
Даже нубу известно, что троян ворует пароли, но не каждый смекнул, что по сути троян сам в себе несёт пароль от какой-то почты. А происходит это по следующей причине: большинство smtp серверов требуют авторизацию. Значит троян должен вначале авторизоваться на smtp сервере, а только потом он сможет отправить письмо. (Пару лет назад авторизации на smtp небыло даже на mail.ru. Какие были времена..) Вот этот логин\пароль для авторизации мы и будем доставать.

как будем доставать?
Поскольку я не владею приёмами реверсинга и чудесами ассемблера, то будем доставать по рабоче-крестьянски - с помощью снифера. Естественно на своей машине запускать троян как-то не хочется, поэтому будем запускать на виртуальной (на неё вам нужно установить win)

toolz
Мы будем использовать две программы

1. vmware - виртуальная машина. Имеется 30-ти дневный бесплатный ключ.
2. wireshark- снифер пакетов. Бывший ethereal.

ссылки в конце статьи

begin
Как вы наверно уже поняли, мы будем запускать троян на виртуальной машине, а на своей реальной машине будем сниферить куда какие пакеты идут. (в принципе если вы это поняли и знаете как это делается, то дальше можно не читать)
Сперва запускаем снифер и настраиваем его на интерфейс смотрящий в интернет.

Выбор интерфейса
http://img408.imageshack.us/img408/2520/notroj1ya8.gif
В моём случае я выбираю интерфейс eth0 (жму start рядом с ним) Снифер работает.
Теперь нам нужно запустить сам троян под vmware. Тут я думаю обойдёмся без скриншотов :) Запуск под vmware совершенно безопасен для вашей винды.
Запустили. Троян отправил рапорты. Теперь возвращаемся к сниферу.
Останавливаем процесс сбора пакетов (такая красная кнопочка)

находим smtp пакет и смотрем содержимое (folow tcp stream)
http://img209.imageshack.us/img209/5378/notroj2eh2.gif

нужный кусок содержимого
http://img171.imageshack.us/img171/2247/notroj3kp5.gif
Красным цветом снифер отмечает пакеты, которые отсылаете ВЫ, а синим отмечены ответы на ваши пакеты.

Что мы имеем?
Итак. Начинаем разбирать что имеем.
Так же из снифера можно узнать куда и откуда идёт письмо.
Пока наш логин\пароль не очень похож на нормальный логин\пароль. Согласно спекам протокола smtp такие вещи передаются в base64. Естественно их нужно декодировать. Это очень просто сделать, достаточно ввести в google base64 decoder и будет куча ссылок. Например вот этот кодер\декодер
Декодируя логин\пароль мы получим
логин - xXx-Software
пароль - 66b9335c6d1a9518
Вот мы и получили заветный логин\пароль от почты, через которую троян посылает пароли.

Ошибка в настройке трояна
Очень часто юные впариватели указывают в настройках того же пинча логин\пароль от той же почты, куда и идут рапорты трояна. Для нас это конечно идеальный вариант и он очень часто встречается в сети. Три из трёх троянов, которые в последние дни мне пытались впарить были именно такие. =)
Естественно при таком раскладе мы имеем доступ к рапортом трояна. Тоесть наш герой трудиться и впаривает трояны, а мы берём уже готовые рапорты =)))

А если троян настроен нормально?
Тут уже поживиться чужими рапортами не получиться т.к. троян логиниться под одной почтой, а посылает на другую. Пока я не встречал почтовых серверов (я просто ими не пользуюсь), где была бы доступна опция сохранения исходящих писем через smtp. Если появятся такие почтовые службы, то мы опять сможем контролировать все рапорты. В любом случае мы можем сделать юному впаривателю западло, а именно изменить пароль на почту. И вся его рассылка трояна пропадёт т.к. троян не сможет зайти на сервер. (если конечно есть возможность смены пароля. Да и пароль можно восстановить)

end
Думаю этой статьёй я сильно не открыл глаза тем, кто умеет пользоваться снифером, но лично мне было трудно представить сразу, что троян, который ворует пароли, по сути сам несёт в себе пароль. Так же в статье я не разбирал троян, который отсылает рапорты на гейт (пока руки не дошли)
Способ в действии вы можете посмотреть в моём видео, которое я снял для этой статьи. В видео я делаю так мной названый "обратный хэк =/".

links
vmware
virtualbox можно использовать вместо vmware
wireshark
base63 encoder\decoder

video
http://video.antichat.ru/file230.html
Видео в формате ogg должно открываться с помощью mediaplayer.

упд
Вместо vmware можно использовать virtualbox, который полностью бесплатный.

Какой трой рассмотрен в статье? Pinch ?
Практика применения материала:
1. Дезактивация рассылки отчётов чужого троя (выгода сомнительна)
2. Если повезёт (ошибка настройки троя), то хаваем чужие отчёты. (выгода есть).

P.S. Гуд. Пиши продолжение, если отсылка идёт на гейт.

какая выгода? :) Простое удовлетворения от того, что какой-то добоёб потеряет своего понча. Вот например один топик в тему с васма http://www.wasm.ru/forum/viewtopic.php?id=20101
PS Все кто рассылает пончи, но не может сам реализовать хотя бы приблизительно похожее - простые чайники, которым в интернет нельзя.

В моём видео это пинч, хотя в статье троян рассматривается в принципе т.к. думаю большинство троянов работают по такой же схеме. Просто пинч - сможет даже амёба
Везёт очень часто =)
true!

Мне кажется видео излишне. И без него всё понятно....

да нет. видео прежде всего для новичков, я думаю будет интересно им посмотреть.

GreenBear, так тыж модератор. Я тебе послал на video@antichat.ru :D

ну я делаю.. у меня 95% аплоада на торренте =) заливается ...

гораздо интереснее дать пинчу украсть у вас пасс от фтп, где хранится "приватный софт" (потрояненные уже вами какие-нить фейки)..

а насчет видео - согласен с BlackLogic'ом - из-за такой ерунды наврядли кто захочет 11м качать..

кста, чаще всего, если используют тот же пинч, то с отсылкой отчетов на гейт, а не на почту..

Сейчас это не проблема. Сбегал в туалет по маленькому, оно и скачалось =) РАзве что модемщикам проблемно.
От того у тебя и репутация 558 =)