[...]

--Message-Boundary-4838

Content-type: Application/Octet-stream; name="Program.exe"; type=PCEXE

Content-disposition: attachment; filename="Program.exe"

Content-transfer-encoding: BASE64

TVqQAAMAAAAEPAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAA

[...]

Dalej już było prosto: wyciął obszar niezrozumiałych znaków (jak znowu słusznie podejrzewał, jest to zakodowany program) i wstawił go w miejsce odpowiedniego kodu w pliku Nimdy. Do dalszych eksperymentów musiał sobie "zdowngradować" Internet Explorer do wersji 5.x, co też (pokonując trudności) uczynił. Po wyłączeniu antywirusa okazało się, że to działa! Po kliknięciu odpowiedniego łącza strony testowej, komputer-klient ładował i uruchamiał program z serwera. Jaś wypróbował to, łącząc się z komputera kolegi ze swoim komputerem, na którym od dawna miał "postawiony" serwer WWW (Xitami - bo instalacja tego serwera sprowadzała się do klikania przycisków Yes i OK).

Na marginesie: Jaś nawet nie zauważył, że adaptowany przez niego plik Nimdy wykorzystuje zupełnie inną podatność (bug) niż wspomniane wcześniej testy.

Problem interweniującego antywirusa Jaś rozwiązał dosyć prosto: zmienił identyfikatory granic: z ciągów znaków "ABC0987654321DEF" i "ABC1234567890DEF" pozostawił po cztery początkowe, gdyż wydawało się najbardziej prawdopodobne, że ciągi te w całości stanowią fragment sygnatury wirusa (czyli cechy, na podstawie której antywirus rozpoznaje wirusa lub inny niepożądany kod). Istotnie - antywirus ucichł. Jasiowi przemknęło przez myśl, że gdyby zrobił to samo z oryginalnym wirusem, zapewne otrzymałby jego nierozpoznawalną mutację, ale ponieważ jest - ogólnie rzecz biorąc - porządnym chłopcem, zaraz przestał rozważać tę możliwość.

Zaczął się jednak zastanawiać, jak wykorzystać wyniki swoich eksperymentów. Niestety, praktycznie nie umiał programować. Gdyby umiał, mógłby spróbować zrobić "automatycznego szpiega", wykorzystując przy okazji ostatnie doniesienia Chrisa Pageta (http://security.tombom.co.uk/shatter.html) o "błędzie" Windows: ...błąd ten, znajdujący się w konstrukcji mechanizmu przesyłania komunikatów między oknami aplikacji, pozwala na maksymalne podniesienie poziomu uprawnień (do "local system") dowolnego użytkownika, który jest zalogowany na danej maszynie. [....] Atak wykonany tą metodą udostępnia wszystkie zasoby atakowanego komputera, a prawdopodobnie również maszyn dostępnych przez sieć lokalną.

Jak wspomniałem, Jaś programować nie umiał, ale pamiętał dobrze, co przeczytał w Internecie, i pamiętał liczne przykłady gotowych koni trojańskich, które wystarczało zainstalować skrycie w komputerze ofiary, aby zdobyć nad nim pełną kontrolę. Z eksperymentów w szkolnej pracowni wiedział jednak również, że do takich celów raczej nie przydadzą się programy, które wymagają zgłoszenia z komputera napastnika do komputera ofiary. NetBus czy Prosiak (oraz ich odpowiedniki) odpadały od razu, gdyż na komputerze ofiary skrycie instalują serwer usługi zdalnego sterowania, do którego to serwera nie ma dostępu spoza komputera granicznego sieci lokalnej, realizującego funkcję NAT (Network Address Translation), czyli praktycznie spoza firmy.

Jaś przypomniał sobie jednak, że widział gotowe konie trojańskie, wysyłające informacje do napastnika pocztą lub po połączeniu się z udostępnionym do zapisu udziałem. Te programy należały właściwie tylko do dwóch grup: key-loggerów i programów nadzoru nad użytkownikami. Key-loggery to programy zbierające wszystkie informacje z klawiatury i składujące je w plikach, które mogą być szyfrowane, a przez niektóre z tych programów wysyłane pocztą pod zadany adres.

Niestety, Jaś nie znalazł darmowego (lub crackowanego) key-loggera o automatycznej, skrytej instalacji. Za to wśród programów automatycznego nadzoru było kilka wysyłających dzienniki pocztą elektroniczną, a ich mechanizmy instalacyjne okazały się dlań wręcz wymarzone - program po uruchomieniu nie wyprowadzał żadnych komunikatów i działał bardzo krótko, nie wymagając żadnych działań operatora. Co prawda, wspomniane programy organizuje się tak, by użyć ich w skryptach logowania, a dopiero w drugiej kolejności do ukrycia faktu instalacji.