Обзор троянцев
В обзоре:
DeepThroat 1,2,3, NetSphere 1.30, GateCrasher 1.2, Portal of
Doom, GirlFriend 1.3, Hack'a'Tack, EvilFTP, ExploreZip.worm, и
SubSeven.
DeepThroat
(versions 1,2,3) OS: Windows 95, 98, NT
Возможности:
запуск приложений, запуск браузер с
указанным URL, FTP сервер, отображение
сообщений, захват паролей.
Используемый порт: UDP 2140, отклик при
посылке "00": "_RegisteredOwner_ Ahhhhh My
Mouth Is Open .."
Локализация: "SystemDLL32";reg.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NetSphere 1.30 OS:
Windows 95, 98, NT
Возможности:
стандартные + переназначение
портов, logging keystrokes, нек-рые функции
Mirabilis ICQ
Используемый порт: TCP 30100 и 30102
отклик (telnet 30102) "220 NetSphere Capture
FTP". удаление - (telnet 30100) командой
Локализация: C:\Windows\System\nssx.exe; reg.
HKLM\..\Run
GateCrasher 1.2 OS:
Windows 95, 98, NT
Возможности:
стандартные + FTP сервер, чат, reboot
Используемый порт: TCP 6969, отклик
"GateCrasher v1.2, Server On-Line..."
установка сервера: gatecrasher; затем end;,
удаление командой uninstall;
Локализация: C:\Windows\System.exe; reg. HKLM\..\Run
Portal of Doom OS:
Windows 95, 98, NT (только в
\Windows )
Возможности:
стандартные + отправка сообщений,
захват паролей, переназначение
кнопок мыши.
Используемый порт: UDP 10067, 10167, отклик
при посылке "pod": "[@]_user_name_
Локализация:
c:\windows\system\ljsgz.exe; reg. HKLM\..\RunServices
GirlFriend 1.3x OS:
Windows 95, 98
Возможности:
стандартные + захват паролей
Используемый порт: TCP 21554
Локализация: c:\windows\windll.exe; reg. HKLM\..\Run
Hack'a'Tack OS:
Windows 95, 98
Возможности:
запуск, Up(Down)loading файлов,стандартные
+ захват паролей
Используемый порт: TCP 31785, UDP 31789 и 31791,
FTP сервер, log keystroke. reboot
Локализация: C:\Windows\Expl32.exe; reg. HKLM\..\Run
EvilFTP OS: Windows
95, 98, NT
Возможности:
FTP сервер
Используемый порт: TCP 23456, отклик
"200- Welcome To EvilFTP :)"
Локализация: msrun.exe; Win.ini
Run=C:\Windows\System\msrun.exe;
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
ExploreZip.worm OS:
Windows 95, 98
Для
распространения использует Microsoft
MAPI (MS Outlook,MS Exchange). Представлен в виде
аттача к письму. После его открытия
имитируется сбойность архива,
происходит запись файла _setup.exe в
корневой каталог Windows и explore.exe в
/SYSTEM, производятся изменения в win.ini
на предмет автоматического
запуска. После чего ExploreZip
контролирует входящюю почту и при
обнаружении нового письма
генерирует ответ отправителю с
текстом (про аттач тоже не забывает)
"Hi. I received your email and I shall send you a reply
ASAP. Till then, take a look at the attached zipped docs."
Более сложный механизм делает его
менее быстро распространяющимся, в
отличие от Melissa, кроме этого ExploreZip
содержит деструктивные функции.
SubSeven OS:
Windows 95, 98
Возможности:
захват паролей, доступ к webcam,
уведомление о заражении IRC или ICQ
Используемый порт: TCP 1243, 6776, 6711
отклик "connected. time/date: 18:05.19 - June 30,
1999,
Wednesday, version: 1.7"
Локализация: большое количество настроек reg. Run или RunServices, Win.ini, System.ini секция [boot] по умолчанию shell=Explorer.exe mtmtask.dl[!]