Обзор троянцев


В обзоре: DeepThroat 1,2,3, NetSphere 1.30, GateCrasher 1.2, Portal of Doom, GirlFriend 1.3, Hack'a'Tack, EvilFTP, ExploreZip.worm, и SubSeven.

DeepThroat (versions 1,2,3) OS: Windows 95, 98, NT
Возможности: запуск приложений, запуск браузер с указанным URL, FTP сервер, отображение сообщений, захват паролей.
Используемый порт: UDP 2140, отклик при посылке "00": "_RegisteredOwner_ Ahhhhh My Mouth Is Open .."
Локализация: "SystemDLL32";reg.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NetSphere 1.30 OS: Windows 95, 98, NT
Возможности: стандартные + переназначение портов, logging keystrokes, нек-рые функции Mirabilis ICQ
Используемый порт: TCP 30100 и 30102 отклик (telnet 30102) "220 NetSphere Capture FTP". удаление - (telnet 30100) командой
Локализация: C:\Windows\System\nssx.exe; reg.
HKLM\..\Run

GateCrasher 1.2 OS: Windows 95, 98, NT
Возможности: стандартные + FTP сервер, чат, reboot
Используемый порт: TCP 6969, отклик "GateCrasher v1.2, Server On-Line..." установка сервера: gatecrasher; затем end;, удаление командой uninstall;
Локализация: C:\Windows\System.exe; reg. HKLM\..\Run

Portal of Doom OS: Windows 95, 98, NT (только в
\Windows )
Возможности: стандартные + отправка сообщений, захват паролей, переназначение кнопок мыши.
Используемый порт: UDP 10067, 10167, отклик при посылке "pod": "[@]_user_name_

Локализация: c:\windows\system\ljsgz.exe; reg. HKLM\..\RunServices

GirlFriend 1.3x OS: Windows 95, 98
Возможности: стандартные + захват паролей
Используемый порт: TCP 21554
Локализация: c:\windows\windll.exe; reg. HKLM\..\Run

Hack'a'Tack OS: Windows 95, 98
Возможности: запуск, Up(Down)loading файлов,стандартные + захват паролей
Используемый порт: TCP 31785, UDP 31789 и 31791, FTP сервер, log keystroke. reboot
Локализация: C:\Windows\Expl32.exe; reg. HKLM\..\Run

EvilFTP OS: Windows 95, 98, NT
Возможности: FTP сервер
Используемый порт: TCP 23456, отклик "200- Welcome To EvilFTP :)"
Локализация: msrun.exe; Win.ini Run=C:\Windows\System\msrun.exe;
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

ExploreZip.worm OS: Windows 95, 98
Для распространения использует Microsoft MAPI (MS Outlook,MS Exchange). Представлен в виде аттача к письму. После его открытия имитируется сбойность архива, происходит запись файла _setup.exe в корневой каталог Windows и explore.exe в /SYSTEM, производятся изменения в win.ini на предмет автоматического запуска. После чего ExploreZip контролирует входящюю почту и при обнаружении нового письма генерирует ответ отправителю с текстом (про аттач тоже не забывает) "Hi. I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs." Более сложный механизм делает его менее быстро распространяющимся, в отличие от Melissa, кроме этого ExploreZip содержит деструктивные функции.


SubSeven OS: Windows 95, 98
Возможности: захват паролей, доступ к webcam, уведомление о заражении IRC или ICQ
Используемый порт: TCP 1243, 6776, 6711 отклик "connected. time/date: 18:05.19 - June 30, 1999,
Wednesday, version: 1.7"

Локализация: большое количество настроек reg. Run или RunServices, Win.ini, System.ini секция [boot] по умолчанию shell=Explorer.exe mtmtask.dl[!]