Wednesday, September 19th, 2018

Переплетчики(связки) и вредоносное программное обеспечение (Часть 2)

Published on Февраль 3, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В первой части этой статьи мы остановились на том, что настроили сервер Optix Pro в качестве элемента нашего вредоносного программного обеспечения (malware). Именно с этим троянским сервером мы свяжем обычную программу под названием Pong.exe, с используя для этого программу-переплетчик (binder) под названием YAB. Переплетчик (binder) – это программа, которая позволяет взять два исполняемых файла и объединить их вместе. Очень важно понять, что под объединением я не имею в виду перемешивание двух программ, как ингредиентов пирога. Переплетчик (binder) под названием YAB возьмет троянский сервер и игру под названием Pong.exe и разместит их одну за другой. Это можно представить, если разломать 12 дюймовую линейку на две части по 6 дюймов. Это наглядно будет продемонстрировано немного позже на рисунке, поэтому не беспокойтесь, если вам еще немного не понятно.

Переплетчик YAB

В сети интернет можно найти много различных переплетчиков. Один из самых простых и обладающих богатыми возможностями – это переплетчик под названием YAB. Это аббревиатура “Yet Another Binder (еще один переплетчик)”. После того, как вы нашли и загрузили эту программу, необходимо ее запустить. Вы увидите диалоговое окно, изображенное на рисунке ниже.

Перемешивание исполняемых файлов

Рисунок 1

Обратите внимание, что другое небольшое диалоговое окно под названием “Icon Preview” не отображено на рисунке выше. Это потому, что программное обеспечение, которое я использовал для получения этого рисунка, было не в состоянии захватить неактивное окно (По активным я подразумеваю, что иконка была серого цвета). Теперь нам также необходима программа под названием Pong.exe, которая будет нашим средством для доставки вредоносного программного обеспечения, т.к. мы будем связывать троянский сервер с игрой Pong.exe. Пожалуйста, нажмите сюда, чтобы получить игру Pong.exe. После того, как вы ее найдете на этой странице, пожалуйста, загрузите ее. Теперь, когда у нас готовы все инструменты, мы готовы продолжить и начать процесс привязки вредоносного программного обеспечения (malware) к игре Pong.exe. На первом этапе необходимо нажать на меню “Command” (команды), а затем нажать на команду “Add Command” (добавить команду), как видно из рисунка ниже.

Перемешивание исполняемых файлов

Рисунок 2

Дальше я лишь приведу комментарии к информации, которую мы должны ввести, чтобы правильно использовать YAB. То, о чем я не упомяну, необходимо оставить по умолчанию. На первом этапе нажмите на кнопку “Browse” (обзор), находящуюся в разделе “Bind File” (файл для связки), как видно из рисунка. Вам необходимо указать путь к файлу, который вы хотите связать. В этом случае необходимо указать путь к троянскому серверу (trojan server) Optix Pro, который мы настроили ранее в первой части этой статьи. Пожалуйста, обратите внимание на рисунке, что я указал путь к папке, содержащей все файлы Трояна Optix Pro, и выбрал сервер, который я настроил в первой части.

Программа для переплетчиков

Рисунок 3

Есть очень много настроек в YAB, с которыми вы можете поиграть. Чтобы увидеть дополнительные настройки, вы можете нажать на кнопку “Show Advanced” (показать дополнительные настройки), которая изображена на рисунке 2. После того, как вы нажали на эту кнопку, вы увидите окно, изображенное на рисунке ниже.

Программа переплетчики

Рисунок 4

Обратите внимание, что “Execution Method” (метод запуска) по умолчанию установлен в “Execute asynchronously” (выполнять асинхронно). Это значит, что после того, как замаскированное вредоносное программное обеспечение (malware) будет запущено, вредоносное программное обеспечение (malware) будет устанавливаться постепенно и незаметно для пользователя. Тем временем обычная программа Pong.exe будет установлено обычным образом. В результате, вредоносное программное обеспечение будет невидимо для ничего не подозревающего пользователя, который думает, что он всего лишь установил игру Pong.exe, чтобы поиграть. Теперь я не буду тратить время на объяснение всех возможностей YAB, поэтому, пожалуйста, поэкспериментируйте с ними сами. С помощью описанной информации для ввода мы можем продолжать дальше. Пожалуйста, нажмите на кнопку “OK”, которая изображена на рисунке выше. Появится диалоговое окно, изображенное на рисунке ниже.

Перемешивание исполняемых файлов

Рисунок 5

Теперь мы продолжим и сделаем то же самое с игрой Pong.exe. Поэтому нажмите на меню “Command” и выберите из него команду “Add Command”. Повторите те же самые шаги, что и для троянского сервера, т.е. нажмите на кнопку “Browse” и укажите место, где находится игра Pong.exe, затем нажмите на нее. После этого нажмите на кнопку “OK”. После этого вы должны увидеть то же, что изображено на рисунке ниже.

Перемешивание исполняемых файлов

Рисунок 6

Теперь у нас есть две программы, которые ждут момента, когда их свяжут вместе с помощью YAB. На следующем этапе мы должны выбрать иконку для нашего замаскированного вредоносного программного обеспечения (malware). Лучше всего выбрать иконку для самой программы Pong.exe, поэтому сделаем именно так. Вы должны нажать на кнопку Change Icon (сменить иконку), которая располагается рядом с иконкой, на которой изображена волшебная палочка, которая изображена на рисунке выше. Если вы наведете курсор мышки на эту иконку, то появится пояснение “Change icon (F8)”. Пожалуйста, нажмите на эту кнопку. Вы увидите такое же окно, как на рисунке ниже.

Программа для переплетчиков

Рисунок 7

С помощью него вы должны найти место, где располагается иконка для программы Pong.exe, используя для этого кнопку “Browse for icon files…” (найти иконки файлов). После того, как вы ее отыщите, просто нажмите на иконку, как показано на рисунке ниже.

Программа переплетчики

Рисунок 8

После выбора, нажмите на кнопку “Open” (октрыть), а затем нажмите на кнопку “Apply” (применить) в диалоговом окне. Далее мы должны выбрать пункт меню “Tools” (инструменты) в главном диалоговом окне YAB. Из этого меню, пожалуйста, выберите команду “Build:”. После этого появится другое диалоговое окно, которое можно увидеть на рисунке ниже.

Перемешивание исполняемых файлов

Рисунок 9

Теперь мы продолжим и выберем название для нашей программы. В нашем случае лучше всего назвать ее Pong.exe, чтобы тем самым одурачить пользователя, который запустит это файл. После того, как вы зададите название, нажмите на кнопку “Save” (сохранить). После этого YAB выполнить свою работу по связыванию троянского сервера Optix Pro с игрой Pong.exe. Вы увидите окно, изображенное на рисунке ниже.

Перемешивание исполняемых файлов

Рисунок 10

Резюме

Теперь мы благополучно связали вредоносное программное обеспечение (malware) с нашим средством по доставке – игрой Pong.exe. Именно так некоторые люди маскируют свое вредоносное программное обеспечение в попытке захвата компьютера пользователя. Я не сомневаюсь, что вы читали статьи, в которых рассказывалось о том, как некоторые люди были шокированы, когда обнаружили, что их банковские счета были опустошены. То что мы сейчас сделали очень напоминает те методы, с помощью которых были украдены деньги с этих счетов. В следующей части нашей статьи мы расскажем о том, что произойдет после того, как пользователь запустит замаскированное вредоносное программное обеспечение. До встречи в третьей части!

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]