Слабые места ОС Windows, которые может использовать троян
b00ster [dev/ice] Реестр Большинство троянов прописываются именно в этом месте...
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
Здесь можно присваивать различные значения ...Пример,если выбрать любой bat файл-ткнуть на него правой кнопкой и выбрать "Изменить" что запустится?Правильно- notepad.exe,однако по этим ключам можно заметить что здесь присваиваются значения при команде "Открыть", то есть запуская любой бат файл,фактически запускается троян. Строка вида C:\WINDOWS\troyan.exe %1 будет запускать troyan.exe ВСЕГДА если открывается bat файл, то же самое касается exe,com,hta,pif
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"
Немного об ICQ...
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"
В этом месте указываются ВСЕ приложения которые запускаются когда ICQ чувствует соединение с Интернетом...
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\
Как пример скрытия настоящего расширения файла:
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]
@="Scrap object" "NeverShowExt"=""
В win 98 есть такая опция "Не показывать расширение для зарегистрированных типов файлов",как показывает опыт, эта опция достаточно опасна,поэтому рекомендую отключить ее... Хорошо,теперь мы видим все настоящие расширения,txt это txt,exe это exe etc... -следующий шаг,создаем файл new.txt.shs,хм... файл почему то имеет расширение txt,хотя мы явно указали shs.. Вот за скрытие shs-расширения и отвечает этот ключик...Более того, если просмотреть свойства этого файла, то он все равно будет называтся new.txt,впечатление конечно портит иконка,но я думаю что это не очень большая проблема... autorun.inf
Теперь вспомним о старой, но до сих пор непофиксенной баге- а именно autorun.inf. Хехе, действительно очень старая дырка. Напомню ее суть, кто забыл (или не знал ;) Большинство встречалось с тем что если засунуть сидюк, то он сам запускается и так далее.. Ответственнен за это небольшой файл autorun.inf содержащий следующее:
[autorun]
OPEN=AUTORUN.EXE
Запускается файлик находящийся на CD,то есть autirun.exe... Понятно что переправить строку с autorun.exe на troyan.exe не составит труда.. Предположим что хакер имеет доступ к какому либо диску(не флопповод), он просто закидывает туда авторан,троянчика и ждет, пока кто-нибудь (желательно админ),не зайдет на этот диск.... Autoexec.bat
no comments ;) Win.ini
[windows]
load=troyan.exe
run=troyan.exe System.ini Shell=Explorer.exe file.exe c:\windows\winstart.bat Обычный бат-файл...зато всегда запускается c:\windows\wininit.ini Да,запускается АБСОЛЮТНО не видимо для пользователя,запускаятся ОДИН раз и стирается..Используется этот файл для установки различными setup'ами : (content of wininit.ini)
[Rename]
NUL=c:\windows\picture.exe
Nul -равносильно стиранию файла...Еще раз говорю,для пользователя запуск приложения АБСОЛЮТНО незаметен... Теперь вспомним о дырках которые были найдены сравнительно недавно- Explorer.exe Было обнаружено, что NT/2k почему то начинают искать explorer.exe в корне диска, то есть если злоумышленник имеет доступ к корню, он просто кладет туда трояна, который называется explorer.exe Похожая проблема имеется и в win95/98 Правда теперь файл будет называтся win.com По всей видимости осталось еще с 3.11. folder.htt Довольно часто,просматривая содержимое папок в Windows,вы обращали свое внимание на файлы типа folder.htt Так вот,этот файл может содержать директивы т.н. active script'инга.Хм, скажет читатель,ну и что из этого? Итак,суть дыры Сначала локально:- Вы под Win98 используете разграничение по пользователям,и соответсвенно у кого-то права меньше чем у Вас, что он делает? Он меняет файл folder.htt в какой либо директории на свой. Потом при заходе в директорию (если у Вас в опции Вид стоит "Показывать содержимое директории как Web")в котором лежит чужой folder.htt запускаются директивы прописанные в нем же и! ...выполнение любой команды с привилегиями зашедшего... Под Win2000 ситуация абсолютно похожая... Болгарин Georgie Guninski написал небольшой эксплойт,который запускает файл a.bat c надписью: "Written by Georgie Guninski" Хорошо, скажем так, сейчас достаточно редко используется Win98 в качестве мультипользовательского компьютера, и это вселяет некоторую надежду,но тут вкрадывается следующая мысль , а именно: Удаленная атака Что мешает атакующему закинуть подобные файлы в любой расшаренный ресурс на компьютер Вашей секретарши? (Стоит напомнить что "Просмотр в виде Web " стоит по дефолту...А Ваша фирма занимается онлайновыми транзакциями?стоит подумать... fix::: Хм...в принципе все это фиксится просто-достаточно просто произвести небольшие изменения,а именно отключить просмотр в виде Web Page в меню Вид. leet xploid Продолжим хит-парад Как-то AntioX и diGriz долго обсуждали возможность такую- так как по дефолту в win включена "Не показывать расширения для зарегистрированных типов файлов", то весьма просто изменить иконку бинария на иконку желтого цвета-то есть папки, назвать файл 1 или a (чтобы файл/ директория появлялись в самом начале директории) и ждать пока пользователь нажмет на эту лже- папку...Решение интересное, я с таким не сталкивался... AntioX's file(К сожалению, сорсов нет,так как автор пропал куда-то,программа просто открывает дефотовые admin share то есть C$ d$ etc,если администратор предварительно убил это в реестре,написать такую программу достаточно просто...Поэтому-либо пользуйтесь, либо пишите сами ;)Кстати,используется только под НТ. И наконец-Автозагрузка C:\windows\start menu\programs\startup-как известно,здесь можно указать указать,какие программы надо запускать вместе с системой.Сюда можно запихнуть что угодно,просто трояна,создать lnk файл на него или reg файл, который сам добавится к определенной ветке реестра.Фантазия безгранична 8)
Источник: неизвестен
