This page has been robot translated, sorry for typos if any. Original content here.

Ловим шпиона или "Куда компьютер почту шлет..."

Сейчас уже трудно найти человека, который не слышал слова "троян", да и мало ли других программ, которые незаметно от пользователя высылают, какую либо инфу о нем. Далее я напишу о том, как узнать, кому и что(например ваши пароли) незаметно отсылают программы типа  "троянский конь".

Прнцип действия данных программ заключается в том, что злоумышленник получает доступ к файлам и папкам жесткого диска , может запускать  различные приложения на у вас на компьютере и "фотографировать" экран. Троян состоит из двух программ: сервер и клиент.Сервер это программа , которая работает на машине жертвы и выполняет команды клиента . А клиент находится у злоумышленника при помощи , которого он управляет сервером. При попадании на компьютер программа записывается в автозапуск и невидимо стартует вместе с операционной системой. Троян можно закачать из интернета с вместе с безобидной программой т.е. он с ней склеен .Используются трояны очень просто, надо заставить жертву запустить сервер программы (если вы в локальной сети то можно и самому подойти и запустить :) ) потом в клиентской части ввести ip адрес жертвы , нажать connect.....

Защита: Используйте свежие антивирусы AVP, DrWeb  и не запускайте неизвестные программы (особенно пришедшие с почтой),а так же проги с досовской иконкой (синий квадрат). Так же эффективным методом защиты является Firewall

Как трояны посылают ваши пароли

Как и другие почтовые программы, для отправки писем трояны используют протокол SMTP (Simple Mail Transfer Protocol), т.е. для того чтобы послать письмо, программа соединяется с SMTP-сервером и посылает его, самое интересное, что весь этот процесс можно отследить при помощи Сниффера. (Сниффер это такая программа которая "вылавливает" нужную инфу, передаваемую как в сети так и с отдельной машины если на ней установлена, т.е. можно следить какие данные отправляет и получает ваш компьютер) Я буду рассматривать на примере сниффера Network Spy , вообще подойдет любой сниффер под Windows. Для начала надо настроить Net Spy, так чтобы отображалась только нужная нам информация, а служебная типа arp, icmp... пакетов игнорировалась, для этого надо запустить программу и зайти в настройки фильтров: Меню "Options" В нем "Manage rules..."

Т.е. останется только TCP.

Когда же троян будет отсылать пароли? естественно при соединении с инетом а возможно, что только при появлении нового соединения и с ним новых паролей. Так что создаем еще одно дайлап соединение, с паролем Anti-  Smile happy  это то что "хакер" получит в письме от своего трояна :)  Открываем сниффер и запускаем его(нажатием на зеленую стрелку),  соединяемся с инетом по старому соединению, и ждем когда сервер трояна, начнет слать наши пароли, примерно через минуту,  может и больше вы увидите примерно следующее:

 

Т.е. NetSpy  записывает все, что передается smtp-серверу, и теперь уже не трудно по имеющейся информации узнать кому и что было отправлено :)  В каждой строчке отображен один пакет: в первом столбце написано время, во втором IP-адрескомпьютера пославшего пакет, в третьем- ip-адрес назначения. Если зайти в меню "Action" и выбрать там "Resolve IP's" то IP-адреса примут обычный вид и станет понятно каким smtp-сервером пользуется программа, для отправки почты. Затем идет размер и в конце указан тип протокола, у нас это smtp т.е. сразу понятно что это отправка почты, а если например POP3, IMAP4, то это доставка писем с сервера, ну а HTTP и так понятно.... Теперь дважды щелкнув на любой строчке, можно "Декодировать" этот пакет, в верхней части указана вся информация о нем: MAC и IP-адреса откуда и куда направляется, тип протокола, TTL, размер и т.д. а в нижней части передаваемая информация. Выберите самые большие пакеты и посмотрите(переходить от одного к другому пакету можно при помощи стрелок "вперд", "назад" в открывшемся окне с декодированным пакетом) в них можно найти заголовок письма с адресом получателя, а так же текст письма.

Если вы хотите проверить как это "работает" не дожидаясь троянов, то воспользуйтесь любой почтовой программой. 

Как троян обновляется

Кроме высылания паролей у многих троянов есть функция "самообновления" это когда он скачивает из инета файл и запускает его, если это так то в окне сниффера,  еще появятся пакеты передаваемые по протоколу http (80-й порт), Так же как и в предыдущем случае надо сохранить все в файл, далее опять воспользуемся поиском по тексту, на этот раз надо искать слово "GET" после него указан запрашиваемый адрес: