Jak kupić Haxdoora, czyli spowiedź autora trojanów
-
- Daniel Cieślak,
- 31.01.2007, godz. 11:13
Z tego, co wiem, szwedzka firma Norman [producent popularnego w Skandynawii programu antywirusowego Norman AntiVirus, który ostatnio nieodpłatnie oferowany jest klientom Nordea Bank - redakcja] twierdzi, że jej produkt wykrywa i usuwa Haxdoora. Co ty na to?
To nieprawda. Mój program wykorzystuje rootkit i potrafi bez problemu ukryć się w systemie przed aplikacjami antywirusowymi. Możesz go skonfigurować tak, by przez większość czasu pozostawał ukryty i uaktywniał się jedynie w określonej sytuacji - np. gdy na stronie e-banku wyświetlone zostanie żądanie podania hasła jednorazowego.
Oto, jak użytkownicy PCWK Online widzą rootkity - najbardziej popularna odpowiedź to "Nie wiem"
No dobrze. A jak program zostanie mi dostarczony?
W postaci archiwum - rar lub zip, do wyboru.
A tak przy okazji - czy Haxdoor zadziała również w Viście? A w starszych wydaniach Windows?
Mój program obsługuje wszystkie wydania Windows od wersji 98 - Vistę również.
Ok, w takim razie wiem chyba już wszystko. Dopracuję tylko swoje plany i odezwę się do ciebie w sprawie sfinalizowania transakcji. W jakich godzinach najłatwiej cię złapać?
Między 15.00 a 24.00 czasu środkowoeuropejskiego.
Trojan pojawia się zwykle w komputerze w postaci załącznika do e-maila - najczęściej będzie to plik o nazwie CMD.EXE. Po jego uruchomieniu uaktywnia się Haxdoor. Na początku tworzony on w folderze system kilka ukrytych plików (m.in. cm.dll, draw32.dll oraz wd.sys), które zostaną automatycznie uruchomione po kolejnym restarcie systemu Windows. Trojan próbuje też dołączyć swój kod do procesu Windows Explorer i modyfikuje Rejestr tak, by jego kopia była uruchamiana za każdym razem, gdy jakiś użytkownik zaloguje się do systemu.
Haxdoor uaktywnia się za każdym razem, gdy użytkownik odwiedzi stronę, której nazwa będzie zawierała jedną z predefiniowych fraz - co więcej, z rozmowy z jego autorem wynika, że osoba kontrolująca trojana może definiować dodatkowe kryteria uaktywniania. Jak już wiemy, "szkodnik" umożliwia wykradanie danych podawanych na takich stronach za pomocą klawiatury, potrafi też przechwytywać hasła z programów pocztowych oraz komunikatorów internetowych. Dane te są później wysyłane do kontrolującej go osoby.
Na tym rozmowa się zakończyła - z oczywistych względów transakcja nie została doprowadzona do końca.
