Книга: Секреты супер хакера

ВИРУСЫ

ВИРУСЫ

Вирус возник путем скрещивания трех видов программ: «троянского коня», червя и логической бомбы.

Логическая бомба — это небольшая программа, спрятанная внутри большей программы. Обычно она представляет собой не более чем высказывание IF THEN (ЕСЛИ ТО). ЕСЛИ что-то верно, ТО надо сделать нечто. Что обычно представляет собой ТО, можно догадаться, исходя из самого названия — логическая бомба.

Классический пример логической бомбы был использован, когда один системный программист был уволен за неверно выполненную работу. Через несколько дней после его ухода главы фирмы получают от программиста послание: «Заплатите мне Х долларов до 31-го июля, и я сообщу вам, как спасти ваши программы и записи от полного уничтожения». Он инсталлировал логическую бомбу, которая взорвется в определенный день.

У программы-червя есть лишь одна цель: саморазмножение. Он осматривается вокруг, и копирует себя, где только может, причем каждая новая копия продолжает заниматься тем же самым. Через некоторое время после начала работы такой программы компьютер или сеть оказываются буквально забиты сотнями или даже тысячами неудержимо размножающихся программ.

Вирус выполняет функции обеих вышеописанных программ. Программа (спрятанная, подобно «троянскому коню», внутри прикладной программы) саморазмножается, пока возможно, а затем взрывается (как логическая бомба).

Логические бомбы опасны, но, по крайней мере, известно, чего от них ждать. Вирусы же и черви, в отличие от логических бомб, не только опасны, но и непредсказуемы. Я убежден, что настоящий хакер никогда не создаст червя, поскольку они слишком деструктивны и бессмысленны. Но он может воспользоваться вирусом, при условии, что вирус не причинит вреда системе, самоуничтожаясь по мере своего продвижения, и ни разу не появится на одном и том же месте дважды.

Вирус может пересылать пароли с помощью электронной почты по определенному адресу, с помощью метода перебора в конце концов проникать в системы и т. п. Существует много путей применения вирусов, но их трудно использовать безопасно.

Ходили слухи об одном микрокомпьютерном вирусе, который, если бы он действительно существовал, согрел бы сердце каждого хакера. Он назывался ATandTack Virus. Скопировав себя на компьютер, он сразу же пытался найти Hayes-модем или совместимый. Если таковой существовал, вирус выключал динамик модема и соединялся с заранее запрограммированным номером. После этого, естественно, любой, кто находился по вызванному им номеру, получал удаленный доступ к вашему компьютеру.

Лично мне кажется, что это не более, чем слух. Разумеется, на данный момент ни одна из коммерчески доступных программ обнаружения вирусов не содержит никаких упоминаний о ATandTack Virus. Но мне кажется, что такая штука лучше работала бы в качестве «троянского коня», размешенного в графической программе, нежели в качестве вируса.

Одним из достоинств «троянских лошадок» и вирусов является конструирование каналов для сбора данных и пересылки их к вам в удобочитаемой форме. Допустим, вирус присоединяется к программе загрузки и собирает пароли. Нет смысла отправлять этот вирус гулять по всему свету, не питая надежд заполучить в свои руки те пароли, которые он соберет. Как я уже упоминал, вирус может периодически пересылать вам пароли с помощью электронной почты (но только не в ваш легальный бюджет!).

Можно также шифровать почту перед отправкой. Проблема с шифрованием состоит в том, что вам понадобится ключ. Любой, кто обнаружит ваш вирус или «троянского коня», легко сможет вычислить ваш ключ и понять, что за почту пересылает вирус (или какие временные файлы создает «троянский конь»). Значит, вам придется зашифровать этот ключ… а для этого нужен еще один ключ… а его тоже надо как-то обезопасить… значит, еще один ключ… И так — до бесконечности. Но давайте разберемся в ситуации.

Если вы собираетесь так или иначе прибегать к кодированию, будет проще заставить ваш вирус или «троянского коня» посылать зашифрованные данные в какую-либо большую, не подвергающуюся цензуре конференцию. Недостаток: вам придется мистифицировать почту, иначе кто-либо заметит, что пользователь (который, сам того не зная, приводит в действие ваш вирус) посылает слишком много «мусора».

Вы можете также подгрузить зашифрованный файл во входную директорию какого-нибудь анонимного FTP. Убедитесь, что компьютерная зашита позволит вам затем выгрузить файлы из этой директории, поскольку зачастую она не разрешает это делать.

Для пересылки коротких сообщений (например, одного пароля) ваша программа-обманка может временно переименовать какой-либо файл с очень низкой степенью зашиты (атрибуты которого способен изменить кто угодно) в это сообщение. Ваш «троянский конь»,вирус будет входить в директорию, маскируясь под различных пользователей сети, и пытаться переименовать файл в данное сообщение. Ваш «троянский конь»,вирус не должен оставлять сообщение об ошибке. (Вы можете «вживить» блок постоянного наблюдения, который в виде фоновой задачи будете следить за состоянием этого файла; как изменится имя файла, фоновый процесс сохранит новое имя, а после вернет файлу его первоначальное имя.

Другие короткие сообщения можно пересылать по битам. Например, если файл Х находится в определенной директории, ваша программа посылает вам цифру 1, а если директория пуста — цифру О. Фоновая задача в то же время следит за появлением и исчезновением из вашей директории этого файла. Когда соберется необходимое количество нулей и единиц (восемь для ASCII-кодов), программа переводит их в символы сообщения. Например, 01000001 — это заглавная «А». 01000010 — «В», и т. д. Чтобы послать восьмизначный пароль, вашему вирусу или «троянскому коню» потребуется 64 уничтожения и восстановления файла X. Биты будут пересылаться по одному, тогда, когда спрятанная программа сможет делать это незаметно.

Оглавление книги