Ловим шпиона или "Куда компьютер почту шлет..."

Сейчас уже трудно найти человека, который не слышал слова "троян", да и мало ли других программ, которые незаметно от пользователя высылают, какую либо инфу о нем. Далее я напишу о том, как узнать, кому и что(например ваши пароли) незаметно отсылают программы типа  "троянский конь".

Прнцип действия данных программ заключается в том, что злоумышленник получает доступ к файлам и папкам жесткого диска , может запускать  различные приложения на у вас на компьютере и "фотографировать" экран. Троян состоит из двух программ: сервер и клиент.Сервер это программа , которая работает на машине жертвы и выполняет команды клиента . А клиент находится у злоумышленника при помощи , которого он управляет сервером. При попадании на компьютер программа записывается в автозапуск и невидимо стартует вместе с операционной системой. Троян можно закачать из интернета с вместе с безобидной программой т.е. он с ней склеен .Используются трояны очень просто, надо заставить жертву запустить сервер программы (если вы в локальной сети то можно и самому подойти и запустить:)) потом в клиентской части ввести ip адрес жертвы , нажать connect.....

Защита: Используйте свежие антивирусы AVP, DrWeb  и не запускайте неизвестные программы (особенно пришедшие с почтой),а так же проги с досовской иконкой (синий квадрат). Так же эффективным методом защиты является Firewall

Как трояны посылают ваши пароли

Как и другие почтовые программы, для отправки писем трояны используют протокол SMTP (Simple Mail Transfer Protocol), т.е. для того чтобы послать письмо, программа соединяется с SMTP-сервером и посылает его, самое интересное, что весь этот процесс можно отследить при помощи Сниффера. (Сниффер это такая программа которая "вылавливает" нужную инфу, передаваемую как в сети так и с отдельной машины если на ней установлена, т.е. можно следить какие данные отправляет и получает ваш компьютер) Я буду рассматривать на примере сниффера Network Spy , вообще подойдет любой сниффер под Windows. Для начала надо настроить Net Spy, так чтобы отображалась только нужная нам информация, а служебная типа arp, icmp... пакетов игнорировалась, для этого надо запустить программу и зайти в настройки фильтров: Меню "Options" В нем "Manage rules..."

Т.е. останется только TCP.

Когда же троян будет отсылать пароли? естественно при соединении с инетом а возможно, что только при появлении нового соединения и с ним новых паролей. Так что создаем еще одно дайлап соединение, с паролем Anti- Smile happy это то что "хакер" получит в письме от своего трояна:) Открываем сниффер и запускаем его(нажатием на зеленую стрелку),  соединяемся с инетом по старому соединению, и ждем когда сервер трояна, начнет слать наши пароли, примерно через минуту,  может и больше вы увидите примерно следующее:

 

Т.е. NetSpy  записывает все, что передается smtp-серверу, и теперь уже не трудно по имеющейся информации узнать кому и что было отправлено:) В каждой строчке отображен один пакет: в первом столбце написано время, во втором IP-адрескомпьютера пославшего пакет, в третьем- ip-адрес назначения. Если зайти в меню "Action" и выбрать там "Resolve IP's" то IP-адреса примут обычный вид и станет понятно каким smtp-сервером пользуется программа, для отправки почты. Затем идет размер и в конце указан тип протокола, у нас это smtp т.е. сразу понятно что это отправка почты, а если например POP3, IMAP4, то это доставка писем с сервера, ну а HTTP и так понятно.... Теперь дважды щелкнув на любой строчке, можно "Декодировать" этот пакет, в верхней части указана вся информация о нем: MAC и IP-адреса откуда и куда направляется, тип протокола, TTL, размер и т.д. а в нижней части передаваемая информация. Выберите самые большие пакеты и посмотрите(переходить от одного к другому пакету можно при помощи стрелок "вперд", "назад" в открывшемся окне с декодированным пакетом) в них можно найти заголовок письма с адресом получателя, а так же текст письма.

Если вы хотите проверить как это "работает" не дожидаясь троянов, то воспользуйтесь любой почтовой программой. 

Как троян обновляется

Кроме высылания паролей у многих троянов есть функция "самообновления" это когда он скачивает из инета файл и запускает его, если это так то в окне сниффера,  еще появятся пакеты передаваемые по протоколу http (80-й порт), Так же как и в предыдущем случае надо сохранить все в файл, далее опять воспользуемся поиском по тексту, на этот раз надо искать слово "GET" после него указан запрашиваемый адрес: