This page has been robot translated, sorry for typos if any. Original content here.

Fang einen Spion oder "Wohin sendet der Computer Mail?"

Jetzt ist es schwierig, eine Person zu finden, die das Wort "Trojaner" nicht gehört hat, und es gibt nicht genug andere Programme, die unbemerkt vom Benutzer gesendet werden, entweder über ihn oder über ihn. Als nächstes werde ich darüber schreiben, wie ich herausfinden kann, an wen und was (zum Beispiel Ihre Passwörter) heimlich Programme wie das "Trojanische Pferd" sendet.

Das Prinzip der Aktion dieser Programme ist, dass der Angreifer Zugriff auf die Dateien und Ordner der Festplatte erhält, verschiedene Anwendungen auf Ihrem Computer ausführen und "Bilder" vom Bildschirm aufnehmen kann. Der Trojaner besteht aus zwei Programmen: dem Server und dem Client Der Server ist ein Programm, das auf dem Opferrechner läuft und die Kommandos des Clients ausführt. Und der Client steht dem Angreifer mit der Hilfe zur Seite, mit der er den Server verwaltet. Wenn Sie an den Computer gelangen, wird das Programm in autorun geschrieben und startet unsichtbar mit dem Betriebssystem. Trojaner kann mit einem harmlosen Programm aus dem Internet heruntergeladen werden. Die Trojaner sind sehr einfach, Sie müssen das Opfer dazu bringen, den Server des Programms auszuführen (wenn Sie sich im lokalen Netzwerk befinden, können Sie es selbst ausführen :) ) dann im Client-Teil geben Sie die IP-Adresse des Opfers ein, klicken Sie auf Verbinden .....

Schutz: Verwenden Sie das neueste AVP, DrWeb Antivirenprogramm und führen Sie keine unbekannten Programme (insbesondere solche, die mit der Mail geliefert wurden), sowie Progs mit dem DOS-Symbol (blaues Quadrat) aus. Eine wirksame Schutzmethode ist auch die Firewall

Wie Trojaner Ihre Passwörter senden

Wie andere E-Mail-Programme verwenden Trojaner SMTP (Simple Mail Transfer Protocol) zum Senden von Nachrichten. Um eine Nachricht zu senden, verbindet sich das Programm mit dem SMTP-Server und sendet es, am interessantesten ist, dass der gesamte Prozess mit Sniffer verfolgt werden kann. ( Sniffer ist solch ein Programm, das die notwendigen Informationen "holt" sowohl im Netzwerk als auch von einer separaten Maschine, wenn es darauf installiert ist, dh Sie können überwachen, welche Daten Ihr Computer sendet und empfängt ) Ich werde das Beispiel des Network Spy-Sniffers im Allgemeinen betrachten Jeder Sniffer für Windows reicht. Zuerst müssen Sie Net Spy konfigurieren, so dass nur die Informationen angezeigt werden, die wir brauchen, und der Diensttyp arp, icmp ... der Pakete wurde ignoriert, dafür müssen Sie das Programm ausführen und zu den Filtereinstellungen gehen: Menü "Optionen" Darin "Regeln verwalten ... "

Ie. nur TCP wird bleiben.

Wann sendet der Trojaner Passwörter? Natürlich, wenn Sie mit dem Internet verbinden, ist es möglich, dass nur wenn eine neue Verbindung erscheint und damit neue Passwörter. Also erstellen wir eine weitere Dalap-Verbindung mit dem Passwort Anti- Lächeln glücklich Das wird der "Hacker" in einem Brief von seinem Trojaner erhalten :) Öffnen Sie den Sniffer und starten Sie ihn (klicken Sie auf den grünen Pfeil), verbinden Sie sich mit dem Internet auf der alten Verbindung und warten Sie, bis der Trojaner unsere Passwörter versendet. In ungefähr einer Minute, vielleicht mehr sehen Sie:

Ie. NetSpy zeichnet alles auf, was an den SMTP-Server übergeben wird, und nun ist es nach den verfügbaren Informationen nicht mehr schwierig zu wissen, wer und was gesendet wurde :) Jede Zeile zeigt ein Paket an: die erste Spalte gibt die Uhrzeit an, die zweite IP-Adresse des Computers, der das Paket gesendet hat, im dritten die IP-Adresse des Ziels. Wenn Sie in das "Action" -Menü gehen und dort "Resolve IPs" auswählen, dann werden die IP-Adressen die übliche Form annehmen und es wird deutlich, auf welchem ​​SMTP-Server das Programm Mail sendet. Dann kommt die Größe und am Ende steht der Protokolltyp, wir haben ihn smtp ie. sofort verstehen, dass dies Mail sendet, und wenn zum Beispiel POP3, IMAP4, dann ist dies die Lieferung von Briefen vom Server, naja, HTTP ist so klar .... Jetzt Doppelklick auf eine Zeile, können Sie dieses Paket "decodieren", Informationen dazu: MAC und IP-Adressen von wo und wohin, Protokolltyp, TTL, Größe usw. und am Ende der übertragenen Informationen. Wählen Sie die größten Pakete und sehen Sie (Sie können von einem zum anderen wechseln mit den Pfeilen "vorwärts", "zurück" im geöffneten Fenster mit dem decodierten Paket) in ihnen finden Sie die Kopfzeile des Briefes mit der Adresse des Empfängers, sowie den Text des Briefes.

Wenn Sie überprüfen möchten, wie dies funktioniert, ohne auf die Trojaner zu warten, verwenden Sie ein beliebiges E-Mail-Programm.

Wie der Trojaner aktualisiert wird

Zusätzlich zum Senden von Passwörtern haben viele Trojaner eine "Selbstaktualisierung" -Funktion, wenn sie eine Datei aus dem Internet herunterladen und starten. Wenn dies im Sniffer-Fenster geschieht, werden weiterhin Pakete über das HTTP-Protokoll (80. Port) übertragen Wenn Sie alles in einer Datei speichern müssen, verwenden wir erneut die Textsuche. Dieses Mal müssen wir nach dem Wort "GET" suchen, nachdem die angeforderte Adresse angegeben wurde: