[ Pobierz całość w formacie PDF ]
.C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 151152 Hakerzy.Sposób usunięcia z systemu:Web EX nie jest wykrywany przez programy antywirusowe.Można usunąć go ręcznie , gdyż WE pozostawia po sobie wpis  RunDl32 =  C:\windows\system\task_bar (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczu:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run.Standardowa procedura to usunięcie wpisu, zresetowanie komputera i skasowaniepliku: C:/WINDOWS/SYSTEM/TASK_BAR.EXE.EXECUTER 1Executer to prosta aplikacja klient-serwer.Składa się z dwóch części: serwera [domyślnie: Exec.exe (249 334 b)] oraz wyglądają-cego nietypowo (podobnie jak BO) klienta [domyślnie: Controller.exe (340 992 b)].Dużo trudności użytkownikowi sprawić może wykrycie serwera, który przydzielasobie wolne porty, zmieniając ich wartość po każdym połączeniu.W równie niekon-wencjonalny sposób odbywa się sterowanie aplikacją  opcje wybiera się prze-mieszczając je z okienka komend (gdzie wyszczególniono wszystkie) do okienkakomend przeznaczonych do uruchomienia (uruchomić można jedną lub kilka komendna raz ustalając odstęp czasu, możliwe jest również  zapętlenie wykonywanych ko-mend).Na szczęście trojan ma rzucającą się w oczy ikonę: żółto-czerwony napis: SeEK.Dysponuje on wieloma destrukcyjnymi z założenia funkcjami:f& //DestroyDblClick  wyłączenie dwukrotnego kliknięcia;f& //DestroyDesktopColors  zmiana kolorów systemowych na żółty;f& //DestroyDesktopColors2  zmiana kolorów systemowych na czarny;f& //DestroyDesktopColors3  zmiana kolorów systemowych na niebieski;f& //DestroyDesktopColors4  zmiana kolorów systemowych na czerwony;152 C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.docRozdział 2.f& Hakowanie systemu 153f& //Disconnect  wyłączenie aplikacji serwera;f& //DestroyCtrlAltDel  wyłączenie kombinacji klawiszy: Ctrl+Alt+Del;f& //DestroyCursorPos  ustawienie kursora w pozycji 0.0;f& //DestroyTrayWnd  ukrycie paska zadań;f& //DestroyWindows  zresetowanie komputera ofiary;f& //RestoreDblClick  włączenie dwukrotnego kliknięcia;f& //RestoreCtrlAltDel  włączenie kombinacji klawiszy: Ctrl+Alt+Del;f& //RestoreTrayWnd  przywrócenie paska zadań;f& //CopyProgramToWindowsDir  skopiowanie serwera do kataloguC:/Windows/;f& //AddProgramToStartup  dodanie serwera do Autostartu;f& //DeleteLogo.Sys  skasowanie C:\Logo.sys;f& //DeleteWin.Com  skasowanie C:\Windows\Win.com;f& //DeleteIo.Sys  skasowanie C:\IO.sys;f& //DeleteSystem.Ini  skasowanie C:\Windows\System.ini;f& //DeleteWin.Ini  skasowanie C:\Windows\Win.ini;f& //DeleteConfig.Sys  skasowanie C:\Config.sys;f& //DeleteAutoexec.Bat  skasowanie C:\Autoexec.bat;f& //DeleteCommand.Com  skasowanie C:\Command.com;f& //DeleteRegedit.Exe  skasowanie Regedit.exe;f& //DeleteTaskman.Exe  skasowanie Taskman.exe;f& //EnableScreenPaint  włączenie wyświetlania na ekranie ciągu: DIE!!!DIE!!! DIE!!!;f& //DisableScreenPaint  wyłączenie wyświetlania na ekranie ciągu:DIE!!! DIE!!! DIE!!!;f& //EnableBeeping  włączenie generowania dz
więków na PC Speakerze;f& //DisableBeeping  wyłączenie generowania dz
więków na PC Speakerze.W rzeczywistości jest to program bardzo powolny i nieudolny.Nie został wyposa-żony w opcję samodzielnej instalacji na komputerze ofiary.Włamywacz musi doko-nać tego  ręcznie.Musi w tym celu skopiować serwer na komputer ofiary i dodać godo Autostartu (ułatwieniem dla niego jest obecność takich funkcji w trojanie) pouruchomieniu na komputerze ofiary serwera.C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.doc 153154 Hakerzy.Sposób usunięcia z systemu:Executer nie jest wykrywany przez programy antywirusowe.Można go usunąć ręcznie , ponieważ koń trojański instaluje się w katalogu Windows jako Sexec.exei zostawia w kluczu HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/ CurrentVersion/Run wpis:  EXECUTOR 1 =  C:\Windows\ SExec.exe.Usu-wając ten wpis, resetując komputer i kasując znany plik, pozbywamy się go z systemu.GirlFriend 1.3Stworzony przez General Failure koń trojański składa się z dwóch nieodłącznychskładników: serwera [nazwanego przez twórców GirlFriend domyślnie: Windll.exe(331 264 b)] oraz klienta [BoyFriend: gf.exe (425 984 b)].Jego funkcje nie są roz-budowane i służy on głównie do wykradania haseł systemowych i wyświetlaniakomunikatów.Oprócz zdobywania hasła może je również wykasować (pod tymwzględem jest niebezpieczny, zwłaszcza jeśli ofiara ma hasła dostępu do Internetuinne niż  ppp lub nie pamięta haseł pocztowych w MS OUTLOOK).Ciekawostkąjest również kopiowanie odkrytych w systemie haseł do Rejestru Systemowego doklucza HKEY_LOCAL_MACHINE/Software/Microsoft/General.Program oznaczazdobyte hasła lub pola tekstowe we wpisach kolejnymi liczbami, np.:  1 =  Połą-czenie Dial-up___ppp.Dostępne opcje to:f& Show Passes  wyświetlenie listy haseł dostępnych na komputerze ofiary(np.hasła dostępu do Internetu) oraz wszelkich aktywnych pól tekstowych(w tym również zakodowanych ciągiem gwiazdek: *******);f& Send Message  wyświetlenie na ekranie ofiary okienka dialogowego;możliwe jest wybranie jednego spośród pięciu rodzajów komunikatów:ostrzeżenia, informacji, błędu, zapytania, zwykłego oraz przetestowaniekomunikatu na komputerze włamywacza;f& Reset Password List  kasowanie wszystkich haseł systemowych na serwerze;154 C:\WINDOWS\Pulpit\Szymon\hakerzy\r02a.docRozdział 2.f& Hakowanie systemu 155f& Custom  wysłanie jednej z komend do serwera:TEST?  wysyła do serwera pytanie:  Are you alive? ; jeśli serwerdziała, odpowie:  Server is alive! ;ver  wyświetla wersję serwera;KillHER   zabija serwer (usuwa serwer z rejestru, ale nie kasujepliku windll.exe);{U}  uruchamia na serwerze zadaną stronę internetową(adres zaczyna się od http://);{S}  odgrywa plik dz
więkowy (format wav);{P}  wyświetla plik graficzny (format bmp);DOWN  wyłącza szukanie haseł na serwerze;UP  włącza szukanie haseł na serwerze;setport  ustawia nowy port.Sposób usunięcia z systemu:GirlFriend jest wykrywany przez markowe programy antywirusowe.Można go takżeusunąć  ręcznie , gdyż instaluje się w Windows jako windll.exe i zostawia w kluczuHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Run wpis: windll.exe =  C:\Windows\windll.exe.Usuwając ten wpis, resetując komputer i ka-sując znany plik, usuwamy konia trojańskiego z systemu.MILLENIUM 1 [ Pobierz całość w formacie PDF ]