книги хакеры / журнал хакер / 084_Optimized

hang

e

C

E

X

-

d

F

t

D

i

r

P

NOW!

o

BUY

to

w Click

m

w

w

Q:o

Какой самый большой ботнет удалось собрать?

.

.c

p

g

df

n

e

-xcha

Почему постоянно проходят разные цифры?

hang

e

C

E

X

-

d

F

i

t

P

D

o

NOW!

r

BUY

to

w

m

несложно убедиться в том, что «отпечаток» пароля на

w Click

o

w

Q: Чем удобнее всего редактировать HEX-файлы? До

.c

.

p

df

e

g

n

самом деле изготавливается из строки

сих пор юзаю какую-то дурацкую программу под

-x cha

username.password, сконкатенированных логина и па-

DOS. Хочется чего-то поновее!

роля. Так же легко можно проверить, что система ау-

A: Могу предложить тебе бесплатный универсальный

тентификации нечутка к регистру, хэш для паролей

редактор PSPad Editor (www.pspad.com). Несмотря на

Apple и appLE будет одинаковым. Так же специалис-

название, созвучное с PlayStation, к этой игровой ма-

ты Санс нашли еще несколько слабостей в самом ал-

шине программа никакого отношения не имеет, одна-

горитме, о чем подробно написали в документе,

ко наделяет тебя большими возможностями. Дело в

представленном на сайте организации.

том, что софтина действительно универсальна и уме-

Sans.org — далеко не шпана, и действовали впол-

ет работать и подсвечивать не только HEX-файлы, но

не корректно: дали разработчикам несколько дней

и код VB, C++, SQL, PHP, ASP и Python. Можно подго-

на устранение проблемы. Судьба поправки пока не

нять настройки синтаксиса под свои, самые личные

известна, равно как и не доступны комментарии

нужды. Веб-мастерам оставили удобный HTML-ре-

инженеров Oracle. Проблема стойкости паролей

дактор со встроенным ftp-клиентом для моментально-

оказывается в авангарде, свежий скандал со

го влива своих шедевров на web. Варез получается

вскрытием школьной БД в Калифорнии — яркий

фришным, порой тормозит с обновлениями, но удоб-

тому пример. В общем, отпечатки пальцев, как

ства не теряет из-за обозначенных выше правильных

средство идентификации, — на повестке дня.

дефолтовых настроек. Недавно был произведен

серьезный facelift другого, уже коммерческого, редак-

Q: Поломал несколько Wi-Fi-сетей и столкнулся с та-

òîðà — UltraEdit (www.ultraedit.com). Стал посимпатич-

кой проблемой: лень каждый раз руками прописы-

нее и оброс новыми опциями и настройками.

вать все настройки. DHCP есть не везде! Можно как-

то автоматизировать процесс?

Q: Хочу написать своего бота и научиться его впари-

A: Судя по всему, такое понятие, как laptop roaming те-

вать. Как можно наиболее детально изучить уже гото-

бе не знакомо. А ведь существует целая серия реше-

вые образцы?

ний, позволяющих «на лету» переключать твой ноут с

A: Конкретные инструкции на эту тему стоят нема-

сетки на сетку. За примером далеко ходить на надо:

лых денег, поэтому тебе придется соображать са-

MultiNetworkManager (www.globesoft.com) позволит те-

мому. Первым делом совершенно понятно тебе на-

бе автоматизировать переключение между сетями,

до заразиться. Для этого надо поднять сетап сис-

когда ты перемещаешься с работы домой, по дороге

темы на том уровне безопасности, который тебя

работая во взломанных сетях :). Если программа не

интересует. Потом необходимо установить софт

]

079

придется тебе по вкусу, то на сайте имеется разум-

для изучения HTTP-трафика, выключить все анти-

ный ликбез по вопросу ноутбучного роуминга; знато-

вирусы и anti-spyware софт и отправиться серфить

ки смогут собрать подобное решение на коленке, за-

левые порнушные сайты, искать варез, лазить по

ВЗЛОМ

юзав системные скрипты. Лекарств от жадности для

разным трэшевым каталогам и т.д. Все с одной

версии 8.* пока не вышло, но это не мешают нахаля-

целью: подцепить заразу и начать ее изучать.

ву юзать седьмую версию программы.

Первым делом, когда почуешь, что подцепил трояна,

нужно понять, как именно ты заразился. Для этого,

очевидно, надо будет внимательно проштудировать

hang

e

C

E

X

-

d

F

i

t

P

D

o

NOW!

r

BUY

Virus

to

w

m

w Click

.co

w.

p

e

df

n

Короли VX-сцены Kings

-xcha

НЬЮСЫ

История группы 29A

В 1991 ГОДУ НА VX HEAVEN, САМОМ

ЖУРНАЛОМ — ЕЕ E-ZINE. НА ПРОТЯ-

ПОСЕЩАЕМОМ САЙТЕ, ПОСВЯЩЕН-

ЖЕНИИ ДОЛГОГО ВРЕМЕНИ 29A

FERRUM

НОМ КОМПЬЮТЕРНЫМ ВИРУСАМ,

БЫЛА ЭЛИТАРНОЙ КОМАНДОЙ, СОС-

ОБЪЯВИЛОСЬ ГОЛОСОВАНИЕ. ПО-

ТОЯЩЕЙ ТОЛЬКО ИЗ ЛУЧШИХ КОДЕ-

СЕТИТЕЛЯМ ПРЕДЛАГАЛОСЬ ОПРЕ-

РОВ. ЧЛЕНЫ ГРУППЫ ВЫПУСТИЛИ

ДЕЛИТЬ ЛУЧШУЮ ВИРУСНУЮ ГРУП-

СОТНИ ВИРУСОВ, МНОГИЕ

ПУ, ЛУЧШЕГО СОЗДАТЕЛЯ ВИРУ-

ИЗ КОТОРЫХ СТАЛИ РЕВОЛЮЦИОН-

СОВ, ЛУЧШИЙ ВИРУСНЫЙ ЖУРНАЛ

НЫМИ. 29A ПО-ПРЕЖНЕМУ АКТИВНА

И НЕКОТОРЫЕ ДРУГИЕ ВЕЩИ.

И ПРОДОЛЖАЕТ СОЗДАВАТЬ НОВЫЕ

ВЫБОР МНОГИХ В ГЛАВНОЙ НОМИ-

ЦИФРОВЫЕ ФОРМЫ ЖИЗНИ, А В

ZONE

НАЦИИ БЫЛ ОДНОЗНАЧНЫМ —

СЛЕДУЮЩЕМ ГОДУ ГОТОВИТСЯ

ГРУППА 29A. ЛУЧШИМ ВИРУСМЕЙКЕ-

ОТПРАЗДНОВАТЬ СВОЙ 10-ЛЕТНИЙ

_

РОМ СТАЛ ЕЕ МЕМБЕР, ЛУЧШИМ

ЮБИЛЕЙ | mindw0rk (mindw0rk@gameland.ru)

PC

hang

e

C

E

X

-

d

F

t

D

i

r

P

NOW!

o

BUY

to

w Click

m

w

w

o

.

.c

p

g

df

n

e

-x cha

стный анализ кода и поиск багов в антивирусах.

увлечения Интернетом. Но главное — приш-

Со временем база знаний накапливалась, и Mr.

лось полностью перестраиваться на новую

Sandman, один из талантливых крэкеров на

Windows-платформу, так как DOS с выходом

BBS, решил, что было бы неплохо поделиться

винды стал быстро устаревать. Win32 стала

информацией с остальными. Поэтому он создал

«новой школой» для вирусмейкеров, обяза-

вирусный электронный журнал.

тельной для изучения всеми, кто собирался

В это время международная VX-сцена пережи-

продолжить создавать вирусы.

логотип 29A

[становление] В середине 90-х Интернет

вала не лучшие времена. Многие авторитетные

97-й год стал переломным этапом для VX-сце-

группы, такие как Thus, Qark, Quantum, SVL уш-

ны. Период затишья закончился, и такие груп-

в Испании был доступен только некоторым уни-

ли со сцены, исчезла известная Dark Conspiracy,

пы, как iKx, SLAM, SVL, Stealth начали активно

верситетам, научным организациям и коммер-

хотя часть ее мемберов основала новую группу,

релизить новые вирусы и е-зины.

ческим компаниям. Обычные компьютерщики

некоторые коллективы объединились, чтоб не

Появилось несколько новых сайтов для вирусмей-

довольствовались BBS и Fidonet. Впрочем, жа-

развалиться окончательно. А единственным по-

керов, своей страничкой обзавелась и 29A. Раз-

ловаться им не приходилось, ведь на бордах и в

полнением на смену уходящим старичкам стала

мещалась она по адресу http://29A.islatortuga.com

конференциях было намного проще найти

Computa Gangsta, e-zine DHC которой не полу-

и называлась 29A Labs. Также в результате дол-

«братьев по разуму». Особенно тем, у кого есть

чил большого признания.

гих посиделок в IRC, сначала на EFNet, потом на

такое странное и специфичное увлечение, как

К тому времени, как началась работа над жур-

локальном испанском сервере, участники группы

компьютерные вирусы. Центром общения таких

налом, тусовка из Dark Node BBS официально

познакомились с новыми талантливыми кодера-

людей была испанская фидошная конфа, един-

стала группой 29A (в компьютерной кодировке

ми, некоторые из которых присоединились к 29A.

ственная в своем роде. Народ там делился сво-

«666»). Парни не просто хотели создать очеред-

Появились мемберы из Дании (Darkman), Вели-

им опытом, идеями и исходниками. Одно было

ной e-zine, журнал должен был стать оплотом

кобритании (Rajaat), Бразилии (Vecna), Канады

плохо — конференцией заправлял модератор,

сцены и в каждом байте нести полезную инфор-

(Reptile) è äàæå Ïåðó (Jacky Qwerty).

который постоянно устанавливал новые прави-

мацию. Поэтому выпуск 29A zine затянулся на

Помимо постоянного состава, который должен

ла и нередко банил тех, кто участвовал в обсуж-

целый год. Задержку вызвал и тот факт, что

был активно принимать участие в наполнении

дении зловредных алгоритмов. Неважно, в ис-

большинство мемберов группы успели обзавес-

журнала и периодически выпускать новые вири

следовательских целях или для поиска защиты

тись доступом в инет и кучу времени убивали

под лейблом 29A, группа заполучила несколь-

от них. В конце 1995 года двум постоянным

в IRC, общаясь на программерских и вирусных

ко внештатных друзей. От них не требовали ак-

участникам VirusBuster и Gordon Shumway все

каналах. Наконец 13 декабря 1996 года состоял-

тивности, но они периодически в доброволь-

эти ограничения надоели, и они решили создать

ся релиз журнала. Первый номер включал в се-

ном порядке предоставляли группе свои нара-

свою BBS Dark Node, в которой свободное об-

бя несколько туториалов по полиморфным и

ботки, и их или печатали в е-зине, или выкла-

суждение вирусных технологий будет не только

макро-вирусам, руководство по отключению ан-

дывали на сайт.

не запрещаться, но всячески приветствоваться.

тивирей, дизассемблированный код интересных

В 1997 году впервые появились упоминания о

На борду перешли еще несколько человек, не-

вирусов (Zhengxi, V.6000) и, конечно, исходники

29A в печатной прессе. В самом популярном

довольных политикой модератора, а Virus Buster

зверьков, написанных членами 29A. Политика

испанском компьютерном журнале PCMania

лично пригласил людей, которых считал специа-

группы с самого рождения была четкой —

опубликовали большую статью на 4 страницы о

листами по вирусам. Dark Node собрала лучших

не выпускать в свет деструктивные организмы,

вирусной сцене, и в частности о группе 29A.

VX-кодеров Испании, и на ней каждый день шли

поэтому в вирях, опубликованных в журнале,

Чуть позже там же вышел подробный обзор ви-

горячие обсуждения по созданию вирей, совме-

ставка делалась на оригинальность и новизну, ни-

руса Torero, написанного Mr. Sandman. Хотя

какого вреда они нанести не могли.

мемберам не запрещалось создавать деструк-

Нельзя сказать, что 29A zine выз-

тивный код, случаи выпуска зловредных виру-

вал фурор на VX-сцене, но журнал

сов в Сеть старались сводить к минимуму. Ког-

стал событием и с интересом изу-

да в одном из интервью Mr. Sandman'а спроси-

чался всеми активными вирусмей-

ли, почему он пишет вирусы, автор сравнил се-

керами. Одновременно с интере-

бя с поэтами и художниками. «Я просто тво-

сом к журналу появился интерес к

рю». К вирусам относились, как к произведени-

группе, которая его выпускала.

ям искусства, и некоторые создания ребят из

29A действительно ими были.

[дальнейшее развитие] Âòî-

Несмотря на то, что основное общение проис-

рой номер 29A ждали долго, боль-

ходило на IRC, 29A периодически организовы-

ше года (вообще, выпускать по

вала риаллайфовые встречи. Первой такой

журналу в год стало своего рода

встречей стала тусовка в Мадриде, которая из-

традицией). На этот раз задержка

начально планировалась как чисто 29A-пати.

произошла из-за реструктуриза-

Некоторые мемберы из других стран, которые

ции группы, обязательной военной

обещали поучаствовать, по разным причинам

компьютер, на котором работала Dark Node BBS

службы у некоторых мемберов и

hang

e

C

E

X

-

d

F

t

D

i

r

P

NOW!

o

BUY

to

w Click

m

w

w

o

.

.c

p

g

df

n

e

-xcha

hang

e

C

E

X

-

d

F

t

D

i

r

P

NOW!

o

BUY

to

w Click

m

w

w

o

.

.c

p

g

df

n

e

-x cha

hang

e

C

E

X

-

d

F

t

D

i

r

P

NOW!

o

BUY

to

w Click

m

w

w

o

.

g

.c

p

df

n

e

-xcha

hang

e

C

E

X

-

d

F

t

D

i

r

P

NOW!

o

BUY

to

w Click

m

w

w

o

.

.c

p

g

df

n

e

-x cha

вступление к первому выпуску 29A zine

29A zine #8

вирус Wince.duts

не появились, и к 29A присоединились несколь-

сии, семье, оставив свою страсть для прошлого.

живет только в памяти компьютера, не остав-

ко знакомых вирусмейкеров. Единственным

Некоторые продолжили заниматься вирусами,

ляя копий на винте. Изменений в системе ника-

неиспанским сценером на пати был Spanska,

но уже с другой стороны — работая на антиви-

ких не делает, но сильно замедляет сетевую

приехавший из Франции. Встреча проходила

русные компании и разрабатывая новые защит-

работу и работу компьютера в целом. 1 декаб-

сначала в ресторане, где парни за обедом по-

ные алгоритмы. Некоторые навсегда оставили

ря чешская полиция арестовала автора, кото-

общались, потом в интернет-кафе, где состоя-

сцену и стали заниматься совсем другими ве-

рый к этому времени уже ушел из группы и ра-

лась шумная IRC-сессия, а закончилась в баре

щами. На их смену приходили новые люди, ко-

ботал на антивирусную компанию Zoner

в центре Мадрида, где парни попробовали сов-

торые продолжали выпускать журнал.

Software. Benny признался, что действительно

местно написать вирус. Следующая тусовка

написал Slammer, но никогда не запускал его

была через год, теперь уже в Амстердаме.

[известные вирусы от 29A] Мемберы груп-

в Сеть. Он только выложил исходники для оз-

С каждым годом журнал 29A становился все

пы 29A создали более сотни самых разных виру-

накомления, которые кто-то скомпилировал,

объемнее. С 4 выпуска в нем появилась новая

сов. Самые интересные были опубликованы в

и выпустил червя в свободное плаванье.

Windows-оболочка на смену старой досовской.

журнале, остальные осели или на BBS и FTP, или

Cabir

Появились новые постоянные рубрики: новости,

винтах своих создателей. Но несколько их вирей

Датой рождения этого червячка можно считать

интервью, приветы, обзор вирусных ресурсов,

стоит выделить особенно. Так как благодаря им о

14 июня 2004 года, когда Vallez/29A отослал

размышления о VX-сцене. Каждый номер также

29A узнал весь компьютерный мир.

свое детище на анализ антивирусным компани-

включал десятки VX-утилит и исходников виру-

Esperanto

ям. Cabir — первый червь для мобильных теле-

сов, написанных 29A и другими группами. Так

Первые сведения об этом вирусе появились в но-

фонов, работающих под Symbian OS. Распрост-

как большинство других вирусных журналов

ябре 1997 года. Эсперанто создавался как пер-

раняется он, маскируясь под защитную утилиту

умирали после первого же выпуска, конкурен-

вый мультиплатформенный вирус, способный

Caribe Security Manager, и после того, как юзер

тов у 29A zine не было и, подобно Phrack'у для

заражать машины, работающие под DOS,

соглашается принять файл, заражает систему.

хакеров, он стал библией для вирусмейкеров

Windows и Mac OS. Но, несмотря на грандиозный

После этого на дисплее телефона появляется

всего мира. А жизнь самой группы 29A была не-

замысел, попытка оказалась неуспешной. В ко-

надпись Cabir, которую также можно увидеть

отрывно связана с изданием журнала.

де виря содержались баги, не позволяющие ему

при каждом включении мобильника. Следую-

После выхода печально известного червя Code

распространяться между PC и компьютерами

щим этапом становится поиск других телефо-

Red в 2001 году вокруг 29A поднялся скандал.

Apple. Эсперанто стал одним из самых сложных

нов в радиусе действия сигналов Bluetooth, и

Многие приписывали авторство именно им, так

вирусов в истории, и подвиг автора Mr. Sandman

если такой телефон находится (он должен ра-

как двое хакеров из Нидерланд, объявившие о

удалось повторить немногим вирусмейкерам.

ботать под Symbian), то отсылает свою копию

том, что это их детище, причислили себя к мем-

Slammer

на него. В отличие от писишных собратьев,

берам 29A. Шумиха не утихла даже после того,

Скандально известный червь, написанный в

Cabir прекращает попытки заражения, если

как на официальном сайте 29A было опублико-

2003 году экс-мембером 29A Benny и вызвав-

юзер откажется принимать файл. Антивирус-

вано опровержение, где говорилось, что в груп-

ший несколько лет назад настоящую эпидемию

ные компании расценили червя как неопасного.

пе нет людей из Нидерландов, и хакеры просто

в Интернете. Заражает серверы, работающие

Впоследствии вышло несколько модификаций

хотели скомпрометировать группу.

под Microsoft SQL Server 2000. После попада-

Cabir'а под цифрами .b, .c, и .d, имеющих незна-

На протяжение 90-х годов и вплоть до наших

ния на компьютер непрерывно отсылает свой

чительные изменения в коде, чтобы обойти зап-

дней состав группы постоянно менялся. Из 29A

код через порт 1434 на случайные машины в

латки на телефоны для более ранних версий.

со временем ушло большинство ранних мембе-

Сети и запускает его самостоятельно, исполь-

WinCE.Duts

ров. Шли годы, и приходилось думать о профес-

зуя ошибку в SQL. Занимает всего 376 байт и

Первый известный вирус для PocketPC, предс-

тавленный Ratter/29A в июле 2004 года. Вирус до-

вольно простой, заражается через запуск файла

и инфицирует ARM-девайсы. Интересно, что зве-

рек даже переспрашивает юзера: «Мне действи-

тельно можно распространяться? Да/Нет», и

приступает к работе после положительного отве-

та. Duts относится к безвредным вирям и, прик-

репляя себя ко всем незараженным экзешникам,

не вносит никаких изменений в систему.

Напоследок хочу дать список людей, которые в

разные времена состояли в группе 29A и сдела-

ли определенный вклад в развитие VX-сцены:

Mr. Sandman, Òcp, Anibal Lecter, AVV, Blade

Runner, Gordon Shumway, Griyo, Leugim San,

Mr. White, Jacky Qwerty, VirusBuster, Wintermute,

The Slug, Vecna, Darkman, Heuristic, Rajaat,

Reptile, Super, Sopinky, The Mental Driller,

Zombie, Benny, Bumblebee, LethalMind, Lord

часть исходного кода вируса Esperanto

Julus, Prizzy, Mandragore, Whale

hang

e

C

E

X

-

d

F

t

D

i

r

P

NOW!

o

BUY

to

w Click

m

w

w

o

.

.c

p

g

df

n

e

-xcha

hang

e

C

E

X

-

d

F

t

D

i

r

P

NOW!

o

BUY

to

w Click

m

w

w

o

.

.c

p

g

df

n

e

-x cha

hang

e

C

E

X

-

d

F

i

t

P

D

o

NOW!

r

BUY

to

w

m

w Click

o

w

.

.c

p

e

df

n

Антология

-xcha

НЬЮСЫ

спама

Технологии

на службе спамеров

FERRUM

КОГДА КАЖДЫЙ ДЕНЬ Я ВЫГРЕБАЮ

ИЗ СВОИХ ПОЧТОВЫХ ЯЩИКОВ ПО

200 ПИСЕМ РЕКЛАМНОГО МУСОРА,

МНЕ НАЧИНАЕТ КАЗАТЬСЯ, ЧТО ЭТИ

НАКАЗАНИЯ СЛИШКОМ

МЯГКИЕ.

СПАМ СТАЛ НАСТОЯЩЕЙ ЧУМОЙ XXI

ВЕКА. И, ЕСЛИ В БЛИЖАЙШИЕ ПАРУ

ZONE]

ЛЕТ СПЕЦИАЛИСТЫ НЕ ПРИДУМАЮТ

ЭФФЕКТИВНЫЙ СПОСОБ БОРЬБЫ С

НЕЙ, ИНТЕРНЕТ ЖДУТ МРАЧНЫЕ

_

ВРЕМЕНА | mindw0rk (mindw0rk@gameland.ru)

]PC

[борьба со спамом] В США рассылка спама

нарушает пользовательское соглашения прак-

тически всех провайдеров и может привести к

ИМПЛАНТ

отключению. Так же в Америке с декабря

2003 года действует CAN-SPAM Act, в кото-

ром прописаны стандарты и ограничения на

рассылку коммерческих сообщений. Если ты

собираешься заниматься такой рассылкой, то

должен получить разрешение у Федеральной

Торговой Комиссии. Хотя специалисты считают

акт неэффективным и даже приписали ему но-

вое название: You CAN-SPAM (ты можешь спа-

ВЗЛОМ

мить). За последние годы спам принял угрожа-

ющие масштабы, и на борьбу с ним выступили

многие крупные компании, включая Google и

Microsoft. На одной из пресс-конференций Билл

Гейтс пообещал искоренить спам в Интернете в

течение двух лет, хотя пока не ясно, каким обра-

зом это будет осуществлено. Сейчас Microsoft

[СЦЕНА]

занимается поиском основных источников спа-

ма и борется с ними в судебном порядке. Свою

лепту вносят и провайдеры, через которых про-

ходит изрядная доля рекламного трафика, но

сделать они могут немного. Да, есть фильтры,

но большинство спама они не задерживают, а

если сделать выборку еще жестче, то вместе с

трэшем будут удаляться обычные письма, что

UNIXOID

для многих людей хуже, чем выгребать по

200

рекламных сообщений в день.

Специально для борьбы со спамерами была изоб-

ретена система captcha. Так как для отправки боль-

шого количества мессаг в 90-х годах спамеру нуж-