ALB (Anti-Lamer BackDoor) - это система удаленного администрирования, которая позволяет практически полностью управлять чюжим компьютером.
В архив входят 5 файлов:
ALB.exe - клиент (268 кб)
Server.exe - сервер (185 КБ)
EditSrv.exe - редактор сервера (154 кб)
Edit.dat - упаковщик
ReadMe.htm - щас читаешь.
Функции:
- Сервер: Закрыть, перезагрузить, удалить, всё как обычно:)
- Сведения: Подробнейшие сведения о компе: имя юзера и компа, системные
папки,язык и т.д.
- Приколы: Вытаскивать CD-ROM, делать с рабочим столом всё, что хочешь, и
т.д.
- Boot: Перезагрузить, вырубить, завершить сеанс и всё-такое.
- Дата/время: Работа с датой, временем - получать, изменять.
- Мышь: Работы с мьшью - отключить, увеличить скорость и т.д.
- Сообщения: или месаги, кто как называет - посылать сообщения.
- Окна: работа с окнами - закрыть, скрыть, показать, отключить и т.д.
- Экстра: Открыть Пуск, удалить обои, заставка, отключить клаву и т.д.
- Файлы: Работа с файлами. Можете покапаться в файлах жертвы.
- Экран: Разрешения экрана, снимок экрана и "Съедание экрана (как pacman)
- Клав.Шпион: слежение за нажатием клавиш.
- Принтер: отпечатать текст на принтере.
- Пароли: получение паролей - кэшированных и DialUp'ных.
- Цвета Windows: установка цвета - рабочий стол, бэкграунд и т.д.
- Писать на экране: писать текст на экране.
- Тел.Соединения: Работа с телефонными соединениями.
- Буфер обмена: удаление, запись в буфер и т.д.
- Чат: Чат с жертвой или клиентом (другим ALB.exe)
- Трансфер: Показывает что сейчас вы скачиваете с удалённого компа (имя
файла, размер, скорость и т.д).
Установка и правильная работа
ВСЕ ФАЙЛЫ ДОЛЖНЫ НАХОДИТЬСЯ В
ОДНОЙ ПАПКЕ.
Так как троян упаковывается
специальным упаковщиком, после нажатия СОХРАНИТЬ в EditSrv.exe, срабатывает
упаковщик, который сильно сжимает сервак до 185 кб. НО в свойствах файла сервера
всё ещё можно наблюдать размер 442 кб. Всё что вам нужно, это нажать правую
кнопку мыши в той папке в которой находится троян и нажать в выскачевшем меню
ОБНОВИТЬ. Всё сервак весит 185 кб.
Настройка:
Для начала войдём в edtsrv.exe для конфигурирования, открываем сервер трояна (по
умолчанию server.exe),
теперь настраиваем:
1) имя файла - так будет называться файл, находящийся у жертвы.
2) имя ключа реестра - так будет называться раздел реестра (процесс),
указывающий на путь к файлу.
3) порт - здесь мы вводим порт (1-65535) для соединения (через клиент)...(можно
оставить по умолчанию).
4) папка для установки - папка в которую будет установлен сервер после первгого
запуска. (Windows или Windows/System)
5) если вы хотите, чтобы при входе заражённой машины сервер отсылал вам
сообщения (ip, пароли, порт, и др) на e-mail или на ICQ, то поставьте
галку напротив надписи "отсылать на мыло" и "ICQ", ведите ваш e-mail и SMTP
сервер (если имя@mail.ru, то
SMTP сервер "mx9.mail.ru"....обязательно используйте smtp вида mx9.вашсервер.ru
(где вашсервер.ru - хост вашего мыла), введите ваш номер ICQ (UIN).
ALB v2.0 от 17.08.2002 - основные отличия от версии трояна alb
v1.4.
Пофиксены все найденные баги,
появились возможности:
Редактор реестра;
Немного уменьшен размер сервера
трояна;
Встроенный порт сканер (для
поиска ком-ов с запущенным alb);
Возможность редактирования
файлов;
Есть возмножность склеивания
сервера с другим файлом и смена иконки.;
Возможность изменять настройки
сервера через клиент;
Исправлен баг с кейлогом;
Мыльные репорты приходят на 100%;
Несколько небольших изменений
функциональности и интерфейса.
А вот так выглядит редактор сервера:
Защита - от ламера :)
"Что за странный заголовок" могли подумать вы. А дело вот в чем:
Этот троян, как и большинство остальных, имеет функцию защиты сервера от подключения и чтения настроек с помощью пароля. А вот реализована эта функция - смехотворно. По сути вся защита от подключений встроена в Клиент! Таким образом, администрировать сервер можно без всякого пароля в обход(не используя) его клиентскую часть. Вот еще одно отличие настоящих систем удаленного администрирования от троянских программ - практически полное отсутствие защиты от несанкционированного подключения. Это проблема не только конкретно этого трояна. Так есть даже специальные программы для взлома паролей троянских серверов. Например тот же RAT cracker с помощью которого легко обойти защиту NetBus, SubSeven, DeepThroat и др.:
Для того чтобы в этом убедится достаточно подключиться к серверу трояна не через клиента, а например, с помощью утилиты Raw TCP из комплекта
Essential Net Tools 3.0..
Рассмотрим алгоритм работы этого трояна:
При подключении к серверу, Клиент первым делом посылает команду 0241.3
на что сервер отвечает: 099В ведите пароль... в результате этого, клиент
получает окно с запросом пароля, после ввода которого серверу отправляется
команда: 100"введенный пароль" Если пароль не верен, сервер возвращает:
101 Неправильный пароль, а если верен, то на этом процедура
аутентификации завершается и сервер готов выполнять команды клиента. Но дело в
том, что сервер готов выполнять команды ВСЕГДА! и без всякой проверки паролей,
на которую его вынуждает именно команда клиента 0241.3. Таким образом,
можно сделать вывод, что парольной зашиты сервера - просто нет. Есть функция
некоторого блокирования работы клиента без проверки пароля.
Выходит - зараженный компьютер полностью открыт для доступа всем желающим.
Но пойдем дальше:
Как же можно управлять сервером без клиента?
Да очень просто. Оказывается, все команды клиента представляют собой просто числа. К примеру если самому отправить серверу команду 001, то в ответ на нее сервер выдаст всю информацию о зараженном компьютере
0020 - скрыть рабочий стол, 0021 - показать рабочий стол 062
- считать "диски" и так далее..
Может не так красиво и удобно, но все работает.
Так что стоит хорошо подумать, если вы вдруг захотите иго использовать для
контроля например своей локальной сети....
Но и это еще не все.. Авторами пердусмотрен универсальный пароль, который
всегда подходит к серверу. Они предлягали его всем желающим за 100$, я вам его
дарю :) - "r00tXSteam"
В версии 2.0 этот пароль уже не действует, но я почти уверен, что такой парол
есть, просто его сменили. Описанная же уязвимость сервера(управление в обход
пароля) осталась и в новой версии.
Вот такой он Антиламер... Один ламер сам заразит свой компьютер. Другой
сумеет им управлять через клиента, а третий ламер сможет обманув первых двух
управлять сервером не зная пароля :)
