AUTOEXEC
from..
Мысль в том что поражаеться дистрибутив форточки.
Ищеться диря с дистрибом а там в КАБе подменяеться internat
или что то другое. Это дает гарантию что при переустановке троян (например
VoidShellizer будет снова работать как обычно)
Круто ?
Еще одна фишка для долгожития виря: похожа на способ автозагрузки VoidShellizer
нонадежнее и независимее от рестра:
Итак,, Запустившись на непоражонной машине прога копирует естессно себя
в одну из дирей выни.
затем в %windir%\wininit.ini файл прописываеться копирования себя (либо
создания ярлыка на себя, тоже самое копирование) в папку автозагрузки,
После чего пользовательработает дальше.
Но вот он перегружаеться, и срабатывает копирование.
При этом строчка из %windir%\wininit.ini
удаляеться автоматом, на данный момент пользовательможет засеч нас в
папке автозагрузки.
Но скорее он никогда этого не заметит, ведь при загрузке из папки автозагрузки
нашей проги, она автоматом удаляет себя оттуда, заного прописывая себя
в %windir%\wininit.ini
Если зверь загрузит систему в сэйф моде, только тогда он сможет обнаружить
нас в автозагрузке., при этом если его не заметят естессно прога останеться
живой, просто она запуститься не как обычно, но после этого опять все
встенет на свои места.
AUTOEXEC
from..
здравствуй
народец.
В последнее время я нахожу единомышленников
мне сообщают что мои статиьи не зря пИсаны.
Предлагаю очередной шедевр в этой подлой жизни
Тобишь способы АВТОЗАГРУЗКИ.
Первое и самое наверное страшное дело - замена BOOT сектора.
т.к. это сложноватый способ, то более о нем речи не пойдет.
Следующще идет кусок системы который загружает этот BOOT
наверно это IO.SYS или еще какая-то
чешуя..
это нас тоже сильно не интересует.
т.к. там нет ничерта кроме функций BIOS
Следующее - COMMAND.COM
Заменив его мы так же работаем без функций ДОСа.
Но если поразить его , и получить управление уже после его работы то
все должно быть пучком... так действуют некие вири.
Ну чепуха прошла..
Следующщий метод придумал я.
Он заключается в подмене MSDOS.SYS
Мы заменяем в нем строчки директории виндов по умолчанию
которую потом пихаем в переменную %windir%
Тобишь создаем ложный MSDOS.SYS cо
своей дирей.
В нее пишем Win.com
вот и все что от жизни нам надо.а потом уже сами грузим форточки.
Метод подмены + метод автозагрузки
Заключается в подмене SCANDISK.EXE
в дире %windir%\command
и ставим в MSDOS.SYS
AutoSCAN=1
при этом при некорректных перегрузках будет запускаться то что нам надо
Но это все наша ДОСя
Ах да.. совсем забыл такие вещщщи как
AUTOEXEC.BAT
и CONFIG.SYS
ооочень ползные вещщи.
Вот еще прикол в ДОСе можно создавать переменные таким образом
set ass=command.com
и затем переменная
%ass% будет идентична нашей полезной
строке.
Причем эту переменную можно ввести даже в командной строке ДОСа
и сработает по программе.
И даже круче.. можно выполнить ее в принципе где угодно.. хоть через
ПУСК\Выполнить
Подобная вещь есть и в форточках - Алиасы для программ.
К сожалению ключ не помню в реестре, но можно подменить все что что
угодно.
Двигаемся дальше.. мы подобрались к самой системе Форточек.
реестр пока не трогаем.
На нашем счету VxD и DLL
Скажу честно - я не такой спец, и рассказать технологию могу только
так как я представляю.
Что скорее выглядит как прописка в реестре на загрузку драйвера или
библиотеки.
На практике ооочень хорошо реализован наш Коммунистический троянообразие
- DonaldDick
Вручную было сложновато его выковырять из системы.
А запускался он как драйвер(вродеб)
Наступим на пятки более привычным методам
И гравнейший из них этто наша любимапя папка:
%windir%\Главное меню\Автозагрузка
Записываешь в нее что угодно и это что угодно запуститься при загрузке
системы.
Эту папку можно поменять в реестре по адресу:
CURRENT_USER\Software\Microsoft\Windows\Current
Version\Explorer\Shell
Folder SturtUp="c:\fuck\fuck"
а вот метод доставшийся от бабуси Windows 3.ху..
прописываем в WIN.INI
[windows]
load=fuck.exe
run=fuck.exe
Похоже но из другого филеза SYSTEM.INI:
Shell=Explorer.exe fuck.exe
%windir%\winstart.bat
стартует при каждом запуске системы..
я узнал об этом достаточно давно.. поэтому сильно удивился.
Вот вам знаменитый способ, почему-то излюбленный троянами, большинство
из них
стартуют именно из этой степи:
LOCAL_MASHINE\Software\Microsoft\Windows\Current
Version\
ключики:
Run
RunServices
RunOnce
RunServicesOnce
И тоже самое в CURRENT_USER
Вот очень хитрый метод:
%windir%\wininit.ini
[Rename]
NUL=c:\windows\fuck.exe
(этого метода я не знал вообще..и эти строчки скатал.
Что-то вроде это работает как и RunOnce
очередной метод, но не совсем при загрузке системы.
CLASSES_ROOT\exefile\shell\open\command
это пример того как можно заставить запуститься что-то перед запуском
какого либо расширения.
такая же чешуя в других ключах:
LOCAL_MASHINE\Software\CLASSES\exefile\shell\open\command
А этот ключ
LOCAL_MASHINE\Software\CLASSES\ShellScrap
@="Scrap Object" "NeverShowExt"=""
просто напросто скроет расширение SHS
Так можно поступить с любой фичей.
Я не касаюсь методов которые можно использовать у чужих прог.
Уж слижком узко становиться..
Расскажу еще про пару фичек.
Запуск из сети:
Вполне проверено и оттестировано GlassControl 1 фичка вставляющщая в
автозагрузку
запуск из сети.
прямо так и пишем:
\\fuck\ass.exe
А когда надо создаем оный и все в ваших руках.
Почему-то я незамечал примечательных методов подмены.
В форточках вечно в автозапуске например торчит systray.exe
который торчит в %windir%\system
который видно когда расшарен принтак в сеть..
Почитав DVL нашел там фичик, нажимая
на мой компьютерзапускается ваша вещь.
Совсем свежая фича:
Файлы документов Office распознаются не по расширению а по внутренностям.
и задание расширения для них не играет особой роли.
Выводы ваши..
Можно сделать любое расширение любым.
Например GC становиться по сути таким же EXE
в GlassControl2
На этом заканчиваю обзор фичек и дырок..дабы не взболтнуть основных
приколов,
которые еще и сам не знаю.. ;)
Будем надеяться что все гениальное - просто.
и крупнейшие дыры зарыты в простых действиях..
Мне все еще грустно от БАГА CON.
Которым сам же пользуюсь.
Всем и всех
R0nald Josev Luis Jackson
|