Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

124_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

14.76 Mб

Скачать

☆

<<< < Предыдущая 1 23 / 143 4 5 6 7 8 9 10 11 12 13 14 > Следующая >>>

hang

NOW!

BUY

>>m

BUY

pc_zone

w Click

-xcha

-x cha

Code red

СТЕПАН ИЛЬИН

/ STEP@GAMELAND. RU/

Loveletter

Nimda

Melissa

ЗЛОВИРУСОВ-

Slammer

Storm

Sasser

Mebroot

Warezov

Sony rootkit

САМАЯНАШУМЕВШАЯМАЛВАРЬЗАПОСЛЕДНИЕ10 ЛЕТ

Каждыйдень— новаязараза. Стакимразнообразиемвсевозможной

живностипоявлениеновоймалварипростоперестаешьзамечать.

Ивсе-таки, былиэпидемии, которыенепрошлинезамечено.

Мырешиливспомнитьпоследние10 летивыбратьзакаждыйгодна-

иболеезапомнившуюсязаразу.

020

XÀÊÅÐ 04 /124/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
pc_zonew				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Melissa

Loveletter

ВЕСЬКОДMELISSA УМЕЩАЕТСЯВ100 СТРОЧКАХ АВОТТАКВЫГЛЯДЕЛОПИСЬМОILOVEYOU

1999

		Едвалипрограммистиз	КогдаMelissa открываетзараженныйдоку-	ресатаможетбытькакая-тозараза, иактивно
	Melissa	Едвалипрограммистиз	КогдаMelissa открываетзараженныйдоку-	ресатаможетбытькакая-тозараза, иактивно
		Нью-Джерсизадумы-	ментMS Word 97/2000, запускаетсяспециаль-	открываливложения.
валсяотом, чтобысобратьботнетизмиллионов			ныймакрос, которыйрассылаеткопиичервяв	Стремительноераспространениевируса
машинииспользоватьегодлярассылкиспама.			сообщенияхэлектроннойпочтыприпомощи	серьезнонагрузилопочтовыесерверы— им
Врядлионмогпредставитьпоследствия, со-			обычногоOutlook’а. Дляэтогочервьюзаетвоз-	пришлосьобрабатыватьнанесколькопоряд-
здаваясвоего, казалосьбы, безобидногочервя			можностьVisual Basic активизироватьдругие	ковбольшеотправлений, чемобычно. Тысячи
Melissa. Ведьдажераспространениетотначи-			приложенияMS Windows ииспользоватьих	машинповсемумируневыдержалинагрузки
налнесинета— впервыечервьбылобнаружен			процедуры. ВирусвызываетMS Outlook, счи-	ивышлиизстроя. К27 мартараспространение
26 мартавконференцииalt.sex внутриUsenet			тываетизадреснойкнигипервые50 email’ов	вирусапринялохарактерэпидемии; 29 марта
— втовремяещепопулярнойсетидляобщения			ипосылаетпоэтимадресамсообщения.	онпроникуженакомпьютерывсехстран
иобменафайлами. Ксообщениюбылприложен			Написаввмессагетексталя«Вотдокумент, о	мира, подключенныхкСети, втомчислеина
файлList.DOC, содержащийпаролина80			которомтыменяспрашивал», червьприатта-	российские.
порнушныхсайтов: позарившисьна«клуб-			чивалкписьмутекущийоткрытыйдокумент	НайденномусиламиФБРДевидуСмиту,
ничку», файликсрадостьюоткрылимногие.			пользователя, предварительнозаражаяего.	которыйинаписалтетридесяткастроккодана
Адальшепошло-поехало: червьтутженачал			Последнее, кстати, повлеклозасобоймассу	VB, грозили10 леттюрьмы, нопарень«легко
распространение, отправляясебяпо50 первым			курьезныхситуацийи, врядеслучаев— утечки	отделался», получив20 месяцевзаключения
контрактамиззаписнойкнижкипользователя.			конфиденциальнойинформации.	иштрафв$5000. Однакоисходникичервя
Этобылпервыйуспешныйчервь, распростра-			В1999 годупользователидаженезадумыва-	ещедолгомусолилихакеры, плодяразличные
няемыйчерезe-mail.			лисьотом, что ваттачеотизвестногоимад-	модификацииMelissa.

2000

	Loveletter	Вследующемгоду—

		новаяпочтоваяэпиде-

мия, вызваннаявирусомLove Letter (илиLove
Bug). Письма, содержащиенезамысловатое

ILOVEYOU встрокетемы, посыпалисьнаничегонеподозревавшихпользователейградом. Ивсебылобызамечательно, еслибыкписьму небылприложенскриптикнаVisual Basic Script, замаскированныйподтекстовыйфайл.

The Subject: ILOVEYOU

Message body: kindly check the attached LOVELETTER coming from me. Attached file: LOVE-LETTER-FOR- YOU.TXT.vbs

Налицоотличныйпримерсоциальнойинженериииприемдвойногорасширения, — что помоглоскрытьподлиннуюприродуфайла. По умолчаниюВинданепоказывалавторое, настоящее, расширениефайла, поэтомупринять аттачзаобычныйтекстовикдействительно былопрощепростого. Нуакольпользователь файлзапустил, можноделатьсвоедело.

Написаннаясиспользованиеммеханизма

Windows Scripting Host, малварьчестно рассылаеткопиителаповсемадресамиз адреснойкнигипочтовойпрограммыMS Outlook, послечегоприступаеткдеструктивнойчасти, закачиваяиустанавливаяв системетроя. Путьдоисполняемогофайла прописывалсякакдомашняястраница

впараметрахInternet Explorer. Этообеспечивалоегоавтоматическуюзагрузку, а запусквсистемегарантировалспециально созданныйключвреестре. Далеедомашняя страницавозвращаласьнасвоеместо— и ушастыйпользовательдаженезамечализменений. Темвременем, WIN-BUGSFIX.EXE илиMicrosoftv25.exe честноотправлялавтору отснифанныепароли.

Триксиспользованиемдвойногорасширения авторзаюзалнетольковписьмах. Дляфайлов целогорядарасширений, червьсоздавал своикопии, добавляякихназваниюрасширение.vbs. Есливпапкебылфайлrulez.mp3, то тутжесоздавалсяrulez.mp3.vbs стеломчервя

— итакповсюду.

Восноведругогоспособараспространения, которыйтакжедавалплоды, лежалискрипты дляmIRC — самойраспространенной программыдлябешенопопулярныхтогда IRC-чатов. Пользователямчатаавтоматичес- кипередаваласьHTML-ка, предлагающая закачатьнекийActiveX-элемент. Чтонаходилосьвнутри, объяснятьненадо, ноповерьна слово: посмотреть, чтоприслалимхороший приятель, соглашалисьоченьмногие. ПервыйслучайактивностиLove Letter былзафиксирован4 мая2000 г., аужечерезсуткиим быличастичноилиполностьюпораженысети ЦРУ, NASA, Министерстваэнергетики, конгрессаСША, Пентагона, британскойпалаты общиниещемножестваорганизаций. Ущерб, нанесенныйчервемвпервыедниактивности, былоцененв$5 миллионов. Офигительно? Виновникаэтогобезобразияпомогнайтиос-

тавленныйимавтограф: «barok -loveletter(vbe) < i hate go to school > by: spyder / ispyder@mail. com / Manila,Philippines». Новвидуотсутствия местныхзаконовзаподобныепреступления, никакойответственностионнепонес.

XÀÊÅÐ 04 /124/ 09	021

hang

NOW!

BUY

>>m

BUY

pc_zone

w Click

-xcha

-x cha

CODE RED ДЕФЕЙСИЛСИСТЕМЫСАНГЛИЙСКОЙЛОКАЛЬЮ

СЕТЕВАЯАКТИВНОСТЬSLAMMER’А

Code Red

Slammer

2001

Code Red

Из-заэтогочервясайту

Витоге, оборудованиепопростусталозады-

Code Red, тотормозаилагибылинеизбежны.

БелогодомаСШАв2002

хатьсяотмусорныхGET-запросов, которые

Червьзаменялсодержимоестраницна

году пришлосьпоменятьIP-адрес:). Старто-

генерировалинодыповсемумира. Влогах

зараженныхсерверахнасообщение: «HELLO!

вавшего13 июля2001 года, Code Red интере-

Apache, накоторый, естественно, уязвимость

Welcome to http://www.worm.com! Hacked By

соваливиндовыемашинысзапущеннымвеб-

IIS нераспространялась, можнобылообнару-

Chinese!», нобылизбирателенидефейсил

демономIIS набортуивключеннойсистемой

житьподобныестроки:

толькотесистемы, гдев качествеосновного

индексирования. Осуществованиикритичес-

языкабылустановленанглийский.Черезнеко-

койуязвимости, приводящейкпереполнению

GET /default.ida?NNNNNNNNNNNNNNNNNN

роевремя, правда, дефейсснималсяавтомати-

буфера, вMicrosoft знализадолгодопоявления

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

чески: видимо, разработчикинехотелираньше

вируса, азамесяцдоэпидемиибылаопубли-

NNNNNNNNNNNNNNNNNNNNNNN%u9090%u685

временитерятьдрагоценнуюноду.

кованазаплатка. Впрочем, этонепомешало

8%ucbd3%u7801%u9090%u6858%ucbd3%u7

Между20 и28 числамимесяцателочервя

запущенному13 июлячервюзаразитьза6

801%u9090%u6858%ucbd3%u7801%u9090%

должнобылоначатьDoS-атакунанесколько

следующихднейболее350 тысяч машин.

u9090%u8190%u00c3%u0003%u8b00%u531

IP-адресов, одинизкоторыхпринадлежал

БрешьвISS позволялалегковыполнятьна

b%u53ff%u0078%u0000%u00=a HTTP/1.0

американскомуБеломудому.

сервереудаленныйкод. РазработчикиCode

Вавгустеэтогожегоданачалраспространять-

Red несильнозаморачивалисьиприделали

ВпроцессеработыCode Red неиспользовал

сяновыйчервьCode Red II, кодкоторого, не-

эксплоиткпростейшемусканеру, который

никакихвременныхилипостоянныхфай-

смотрянасхожееназвание, былсозданзаново

работал«влоб». ВовремясканированияCode

лов. Червьуникален: онсуществоваллибов

ипредоставлялвладельцамполныйконтроль

Red непроверялналичиеIIS нановомком-

системнойпамятизараженныхкомпьютеров,

надзараженнымимашинами, копируяфайл

пьютере-жертве, атупоотправлялспециально

либоввидеTCP/IP-пакетаприпересылкена

cmd.exe вкаталог\inetpub\scripts\ ISS-серве-

сформированныеHTTP-запросынасгенери-

удаленныемашины. Ноналичиезаразына

ра. ВотличиеоторигинальногоCode Red, клон

рованныеслучайноIP-адресавнадежде, что

сервереобнаруживалосьбезвсякогоантиви-

старалсяатаковатьхостывтойжеподсетии

где-тона80-портуокажетсявожделенныйIIS.

руса. Посколькувпамятикомпьютерамогли

недопускалодновременногозапускасебяна

Морезапросов— огромныйобъемтрафика.

существоватьсразусотниактивныхпроцессов

однойсистеме.

2002

Nimda

Запустившегосяв

Причем, дляпоискановыхадресатоввирус

загрузкавирусапосетителям.

сентябре2001 годачервя

кропотливосканировалтекстовыедокументына

4. Иещеинтересныйход— Nimda нестеснялся

нуникакнемоглинесвязатьсдеятельностью

жесткомдиске, атакжезапрашивалспомощью

иактивноиспользовалдляраспространения

Алькайды, заоднорассказываяомощныхтех-

специальнойMAPI-функциисписокадресатовс

бекдоры, оставленныевсистемахчервямиCode

нологиях, применяемыхвновойзаразе. Ноесли

сервераMicrosoft Exchange.

Red II иsadmind/IIS.

присказкиотерроризмебыливыдумкойжур-

2. Другойспособраспространения— расша-

Добавим, чтоNimda имелопасныйпобочный

налистов, тоочевиднаяпродвинутостьнового

ренныересурсывлокалке. Послесканирования

эффект, которыймогдопуститьутечкуконфиден-

червябыланалицо. ФишкаNimda заключалась

всехдоступныхшарNimda создавалтамфайлы

циальнойинформациисзараженныхкомпьюте-

сразувнесколькихканалахраспространения,

спочтовымисообщениями, имеющиерасшире-

ров. Червьдобавлялпользователяподименем

благодарякоторымемуудалосьвсчитанные

ние.EML и.NWS.Открытиетакихфайловпроис-

«Guest» вгруппупользователей«Администра-

минутыраспространитьсяпоСети. Разберемся

ходитвпочтовойпрограмме, чтоавтоматически

торы». Такимобразом, обычныегостиполучали

попорядку.

влеклозасобойзаражение, какеслибыписьмо

полныйдоступкресурсамкомпьютера. Более

1. Наибольшийпробивбылполучензасчет

простопришлопопочте.

того, вселокальныедискиоткрывалисьчерез

эксплоита, которыйиспользовалуязвимостьв

3. НемоглизабытьсоздателиипродырявыйIIS,

шарыдляполногодоступа.

Internet Explore’е, позволяющуюавтоматически

уязвимостьвкоторомужеиспользовалидругие

Авторэтоговирусаофициальноненайден, но

запускатьприаттаченныйкписьмуфайл. При-

черви. ПоэтомуNimda довольноэффективно

втелечервясодержитсястрока, указывающая,

крепленныйкписьмуREADME.EXE (написаный,

пробивалмайкросовскийвеб-демонспомощью

чтосоздательизКитая: «Concept Virus(CV) V.5,

кстати, наС++) беспрепятственнозапускался

уязвимостиdirectory traversal. Вслучаезара-

намашинеприпростомоткрытияписьма, и

жениявеб-серверананемслучайнымобразом

комфортноначиналсвоераспространение.

выбиралисьстранички, откуданачиналась

022

XÀÊÅÐ 04 /124/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
pc_zonew				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

email c

аттачем

DESKTOP

COMPUTER

	DESKTOP	email с
	DESKTOP	аттачем
	COMPUTER	аттачем
		WEB
	Использовование	SERVER
	Использовование
	уязвимостей в IIS
	и бэкдоров Code Red
	Малварь код на веб-страницах
	веб
	страницы

	Использовование
	уязвимостей в IIS
Доступ	и бэкдоров Code Red
Доступ
к зараженному
файлу на другом	WEB
компе	SERVER
DESKTOP
COMPUTER
OR FILE
SERVER

РАЗНЫЕСПОСОБЫЗАРАЖЕНИЯЧЕРВЯNIMDA Nimda

Sasser

ОШИБКАСИСТЕМЫПОСЛЕЗАРАЖЕНИЯ

SASSER’ОМ

2003

	Slammer	Незадачливыежители	пакет, вирусмогвыполнитьнаудаленной	никакнепроявлялсебяназараженноймаши-

		странСевернойАме-	машинепроизвольныйкоди, всвоюочередь,	не, последствияотSlammer’абыликолоссаль-
рикибылисильноудивлены, когда25 января			продолжитьраспространение. Поразличным	ными. Роутерыимаршрутизаторынамагист-
многиебанкоматыпопроступересталирабо-			отчетамсообщается, чтовирусуудалосьзара-	раляхбылинастолькоперегруженытрафиком,
тать. Вовсеммиресосбоямиработалислужбы			зить75.000 машинзакаких-тодесятьминут,	чтолавинообразновыбивалидругудругав
позаказуирезервированиюавиабилетов,			— нокак? УязвимыймодульIIS, позволяющий	концеконцовотключивнекоторыебэкбоны.
многиесервисывообщенебылидоступны.			приложениямавтоматическиобращатьсяк	ЮжнаяКореябылаполностьюотрубленаот
Нонабившийоскоминуфинансовыйкризис			нужнойбазеданных, принималзапросыкак	инетаинаходиласьвтакомсостояниипочти
тутвовсенепричем— этолишьвсплескак-			разпоUDP, ателовируса, составляющеевсего	24 часа. Толькопредставь: никакогоинтернета
тивностичервяSlammer. Активностьвпервые			376 байт, отличнопомещалосьв одинединст-	имобильнойсвязисвнешниммиромдля27
замеченав12:30 посреднеатлантическому			венныйUDP-пакет. ВрезультатеSlammer	миллионовчеловек. Забавно, чтомногиежер-
времени, ак12:33 количествозараженных			неиспользовалтормознойTCP, требующий	твыдаженезнали, чтонаихмашинеустанов-
машинудваивалоськаждые8.5 секунд.			постоянныхквитков-подтверждений, арас-	ленатакаяспецифическаявещь, какSQL.
ВосновечервялежалауязвимостьвMicrosoft			сылалсебяпоненадежномуUDP соскоростью
SQL Server, концепциякоторойбылапредстав-			несколькодесятковзапросоввсекунду!
ленаDavid Litchfield наконференцииBlackHat.			Несмотрянато, чтопатчдляуязвимостибыл
Отправляяна1434 скомпрометированный			выпущенза6 месяцевдоэпидемии, авирус

2004

	Sasser	Ужчто-что, аокошко	алгоритмпогенерацииIP-адресов, пытается	страняласьдостаточномедленно, ночерез

		System Shutdown, ини-	найтисистемыснезащищенным445 портом	несколькоднейвСетибыливыпущенымоди-
циированноеNT AUTHORITY\SYSTEM собрат-			иуязвимымсервисом. Сплоитработална	фикации, распространяющиесягораздобыст-
нымотсчетомисообщениемопринудительной			«ура», правда, приводилкошибкенасистеме	рее. Кэтомумоментучислозараженныхмашин
перезагрузкекомпьютеравиделпочтикаждый			пользователя. Sasser открывална9997 порту	измерялосьсотнямитысяч, авпикеэпидемии
— годомранее, вовремяэпидемииBlaster’а,			шелл, черезкоторыйдалееизаливалосьвсе	речьшлаомиллионах. ВФинляндиибыли
либожев2004, когдасталбушеватьвомногом			необходимое. Самотелочервябезлишнего	отмененырейсыместнойавиакомпании, во
похожийнанегоSasser. Принципиальная			геморрояпростопередавалосьпопротоколу	многихстранахзакрытынекоторыеотделения
разницачервейвтом, чтоонииспользуюткри-			черезFTP, причемсервертакжеоткрывался	крупнейшихбанков. Авторомзаразыоказался
тическиеуязвимостивразныхслужбах. Для			назараженныхкомпьютерахна5554 порту.	18-летнийнемецкийстудентСвенЯшан, хотя
размноженияSasser используетбагперепол-			Какчастобывает, шелл-кодсплоитаотли-	изначальноразрабатывался«русскийслед».
нениябуферавслужбеLocal Security Authority			чаетсяотсистемыксистеме, поэтомуSasser	Юноговредителязаложилкто-тоизсвоих,
Subsystem Service (LSAS) — отсюдаиназвание			предварительнопроверялверсииудаленной	позарившисьнаобещанноеMicrosoft’ом
червя. НаписанноенаС++ телоSasser впер-			системы, чтобывыбратьправильныйнабор	награждениев250.000 баксов. ПомимоSasser,
воначальнойверсииоткрывает128 парал-			параметровдляатаки.	накомпьютерепарнишкинашлиещеимного-
лельныхпотоков, и, используяспециальный			ОригинальнаяверсиячервяSasser распро-	численныемодификациичервяNetsky.

XÀÊÅÐ 04 /124/ 09	023

hang

NOW!

BUY

>>m

BUY

pc_zone

w Click

-xcha

Sony rootkit

Warezov

-x cha

BSOD ИЗ-ЗАКОРЯВЫХ ДРАЙВЕРОВSONY ROOTKIT

ВРЕМЕННЫЙФАЙЛWAREZOV

2005

Sony rootkit

Забавныйфакт: это

диск. Послеустановки, всистемепоявлялись

нентов, чтостого? Оченьпросто. Сразупосле

единственныйруткит,

двановыхсервиса, которыеивыполняливсе

появленияруткита, МаркРуссиновичвсвоем

которыйраспространялсялегально! Win32/

функции. Установленныйдрайвер$sys$aries

блогерассказаломногочисленныхбрешахв

Rootkit.XCP, или«sony rootkit», являетсячастью

(aries.sys) скрываетвсефайлыиключивреест-

собственнойзащитепрограммы. Ибылправ:

системызащитыаудио-CD,выпускаемыхSony

ре, которыеначинаютсяс«$sys$» посредством

оченьскоромеханизм, предназначенныйдля

BMG. Растроеннаявсепоглощающимпиратст-

перехватанативныхAPI-функций. Win32/

сокрытияфайловипроцессов, быстроприспо-

вомкомпаниярешилаборотьсяснелегальным

Rootkit.XCP отслеживаетобращениякSystem

собилидлясвоихнуждкодерывирусов. Более

копированиемспомощьюDRM-компонентов

Service Table (SST) иперехватываетобращения

того, распространениеэтогоноу-хаосамопо

(Digital Rights Management), авпопыткескрыть

кфункциям: NtCreateFile, NtEnumerateKey,

себеприводилокнестабильностисистемы,

ихприсутствиевсистемеобратиласьвкомпа-

NtOpenKey, NtQueryDirectoryFile,

зависаниюкомпьютераипотереданныхиз-за

ниюFirst 4 Internet, чтобытенаписалимаскиру-

NtQuerySystemInformation. Врезультатеудает-

кривыхдрайверов, установленныхвсистему. И

ющийруткит. Витоге, системазащитыдисков

сяскрытьприсутствиеключейвреестре, папок,

дажетогда, когдаSony выпустиласпециальную

вместесруткитомсталаинсталлироватьсяна

файловипроцессов.

тулзу, избавитьсяотэтодряниполностьюбыло

компьютерпользователяавтоматически, когда

Тыспросишь: авчем, собственно, трабл? Ну,

оченьиоченьзатруднительно.

вприводвставляетсязащищенныйкомпакт-

скрываетэтотруткитработунужныхемукомпо-

2006

Warezov

Надворе— 2006 год,

базамимногиеюзерыоставалисьнеудел.

такжеостанавливатьиудалятьслужбыанти-

тольковотушастые

Впоследствии, когданавеб-серверахглобаль-

вирусныхпрограммиперсональныхбранд-

пользователипо-прежнемуоткрываютвсе

ноначаливычищатьвсеписьмасозловред-

мауэров. Дляорганизациирассылкичервь

вложениявписьмах, апрограммноиммалокто

нымиаттачами, модификацииперекинулись

используетсобственныйSMTP-сервер. Глав-

запрещаетэтоделать. Результат? Огромный

наIM-сети. АодинизвариантовWarezov стал

ноеиспользованиеботнета— это, конечноже,

ботнетWarezov (онжеStration), которыйавторы

первымчервем, которыйраспространялся

спам. Однакомногиенодыслужилидляхостин-

сумелисобратьзасчетодноименногочервя,

черезSkype!

гатакназываемыхfast-flux платформ, позволяя

рассылаемогопоemail. Никакихсплоитови

Какиподобаеттроюдляботнета, телоWarezov

спамерампрятатьнастоящеерасположение

уязвимостей, — социальнаяинженерияилюдс-

позволяловладельцамзагрузитьнакомпьютер

ихспамерскихсайтовзаIP-адресомжертвы. IP

каятупость. Иведьповсютрубят: «Неоткрывай

любуюзаразу. Червьсодержитвсебесписок

менялсянастолькочасто, чтоегоневозможно

вложений» — такведьвсеравнокликают.

жесткопрописанныхURL-адресов(что, конеч-

былоприкрыть. Warezov достигалэтогодвумя

ОсобенностьчервяWarezov — вогромном

но, минус), которыеонпроверяетнаналичие

средствами: во-первых, reverse HTTP proxy, ко-

количествевариаций, которыепоявлялись, как

файлов. Вслучаееслипокакому-либоизэтих

тораяполучалаконтентснастоящего(скрыва-

грибыпоследождя. Былмомент, когдановые

адресовбудетразмещенфайл, онзагрузитсяв

емого) сайта, атакжеDNS-сервера, накотором

модификациипоявлялисьчутьлинеразв30

системуизапустится. ОсновноймодульWarezov

специальнаяверсияBind подWindows меняла

минут. Дажесобновленнымиантивирусными

способензавершатьразличныепроцессы, а

записипонужномуалгоритму.

2007

Storm

Ботнет, созданныйс

вЕвропе, пользователямповалилисьписьма

другдругом. Причемрольхоставслучаене-

помощьючервяStorm,

спредложениемоткрытьвложенныйфайлс

обходимостиможетзанятьлюбаяизнод. Вся

можносмелоназватьпроизведениемискуст-

названиямиFull Clip.exe, Full Story.exe, Read

сетьустроенатак, чтополногосписканодов

ва. ДецентрализованнаяP2P-сеть, вкоторой

More.exe илиVideo.exe.

нетниукого, поэтомуточныеразмерыботнета

большинствохостовсидиттихоиждетуказа-

Всепопавшиесянаудочкумашиныавтомати-

такиосталисьзагадкой. Поразнымподсче-

ний. Доменныеименаразрешаютсявпостоян-

ческиобъединялись вботнет, новотличиеот

там, онварьировался отодногодонескольких

номеняющиесяIP-адреса(опятьжеfast-flux

другихсетей, оннеиспользовалспециальный

миллионовмашин.

domains). Частькодачервя— полиморфная.

управляющийсервер, доступккоторомулегко

Помимофункцийпоработесботнетом, Storm

Впике— болеемиллионаинфицированных

перекрыть. ПринципуправленияStorm боль-

устанавливаетвсистемеруткит: Win32.agent.

хостов. Какэтоудалось?

шенапоминаетпиринговуюсеть, вкоторой

dh, посредствомкоторогодержателиботнета

Эпидемиячервяначаласьскомпьютеров

зараженныенодыподключаютсяксвоему

моглистащитьлюбуюконфиденциальную

вЕвропеиСоединенныхШтатах19 января

управляющемухосту(онруководитобычно

инфу, рассылатьспамиустраиватьмощные

2008 года, когда, прикрываясьтемойурагана

30-45 зомби), ахостывзаимодействуютмежду

DDoS-атаки.

024

XÀÊÅÐ 04 /124/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.							.c
		p					g
			df			n		e
				-xcha						СMEBROOT’ОМДОСИХПОРСПРАВЛЯЮТСЯДАЛЕКОНЕВСЕАНТИВИРУСЫ
										СMEBROOT’ОМДОСИХПОРСПРАВЛЯЮТСЯДАЛЕКОНЕВСЕАНТИВИРУСЫ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
pc_zonew				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha


ТЕХНИКАFAST-FLUX ВКАРТИНКАХ	РАЗНЫЕСПОСОБЫРАСПРОСТРАНЕНИЯЧЕРВЯ	Merboot


	DOWNADUP
	DOWNADUP

COMPROMISED
PCs
NS.SUPERSAMEAS.COM		ЧЕРЕЗВНЕШНИЕНОСИТЕЛИ,
NS.SUPERSAMEAS.COM		ИСПОЛЬЗУЯАВТОЗАПУСК	ПРОПАТЧЕННЫЕСИСТЕМЫ
		ИСПОЛЬЗУЯАВТОЗАПУСК	ПРОПАТЧЕННЫЕСИСТЕМЫ
		STORM BOTNET	СНАДЕЖНЫМПАРОЛЕМ
		STORM BOTNET	НАСИСТЕМНЫЕШАРЫ
		211.51.164.123	НАСИСТЕМНЫЕШАРЫ
2
			Downadup
1	HOME	3
1	PC	3
	PC
QUERY:		HTTP GET:211.51.164.123	MS08-067
WWW.SUPERSAMEAS.COM
		ЧЕРЕЗ«СЕТЕВОЕОКРУЖЕНИЕ»,	ИСПОЛЬЗУЯЭКСПЛОИТ
Storm		ПЕРЕБИРАЯПАРОЛЬАДМИНИСТРАТОРА ДЛЯУЯЗВИМОСТИMS08-067,
Storm		КСИСТЕМНОЙШАРЕADMIN$	НАЙДЕННОЙВОВСЕХВЕРСИЯХ
		КСИСТЕМНОЙШАРЕADMIN$	НАЙДЕННОЙВОВСЕХВЕРСИЯХ
			WINDOWS

2008

	Merboot			Загрузочныевирусы,
				Загрузочныевирусы,
				окоторыхвсеблагопо-
				окоторыхвсеблагопо-

лучноуспелизабыть, возвращаются. В2005 годунахакерскойконференцииBlack Hat специалистыeEye Digital Security продемонстрироваликонцепттакназываемогобуткита, размещающеговзагрузочномсекторедиска код, которыйперехватываетзагрузкуядра Windows изапускаетбэкдорсвозможностьюудаленногоуправленияполокальной сети. Презентацияпрошланаура, ав2008 году, последлительногозатишьявобласти

руткитов, выстрелилMebroot. Новыйтроян использовалпредставленнуюещев2005 году идеюиразмещалсвое теловбут-секторе диска, послечеговносилмодификациив ядроВинды, которыезатруднялиобнаружениевредоносногокодаантивирусами. Подцепитьзаразумогктоугодно: компы заражалисьчерезсвежиесплоитыспопулярныхсайтов. Вредоносныйкодсначала изменяетMBR (главнаязагрузочнаязапись), записываетруткит-частивсекторадиска, извлекаетизсебяиустанавливаетбэкдор

вWindows, послечегосамоудаляется. В результатезаражения, вMBR размещаются инструкции, передающиеуправлениеосновнойчастируткита, размещенноговразных секторахжесткогодиска. Именноэтачасть, ужепослезагрузкисистемы, перехватывает API-функцииискрываетзараженныйMBR. Крометрадиционныхфункцийпосокрытию своегоприсутствиявсистеме, вредоносный кодустанавливаетвWindows бэкдор, который занимаетсякражейбанковскихаккаунтов.

2009		Downadup	Червя, нашумевшегов	netapi32.dll. Накомпьютерезапускаетсяспе-
			Червя, нашумевшегов	netapi32.dll. Накомпьютерезапускаетсяспе-
			январе, называютпо-раз-	циальныйкод-загрузчик, которыйскачиваетс


	ному: Downadup, Conficker, Kido. Важноодно:			ужезараженноймашиныисполняемыйфайл
	новоймалварезанесколькоднейудалось			червяизапускаетего.
	заразитьмиллионыкомпьютеров, исобранный			Кромеэтого, червьотличнотиражируетсебя
	ботнетфункционируетдосихпор. Разработчи-			через«Сетевоеокружение», перебирая
	камудалосьлиходиверсифицироватьспособы			парольадминистратораксистемнойшаре
	распространения, объединивводномчерве			ADMIN$. Адавноизвестныйспособраспро-
	сразунесколькоуспешныхметодик. Самый			странениячерезфлешкипретерпелизме-
	эффективныйспособ— приватныйсплоит,			нения: врезультатеобфускацииAutorun.inf
	использующийнепропатченнуюсистемус			(разработчикипростодобавиливфайлкучу
	уязвимостьюпереполнениябуфераMS08-067 в			мусора) удалосьобманутьмногиесигна-
	сервисе«Сервер» (патчвышелещевоктябре).			турныеантивирусы. Несколькоспособов=
	Дляэтогочервьотсылаетудаленноймашине			максимальныйэффект! Другаяключевая
	специальнымобразомсформированныйRPC-			особенностьзаключаетсявтом, какчервь
	запрос, вызывающийпереполнениебуфера			скачиваетназараженнуюмашинутрояна(для
	привызовефункцииwcscpy_s вбиблиотеке			дальнейшейрассылкивируса, DDoS’аит.д.).

XÀÊÅÐ 04 /124/ 09

Разработчикиотказалисьотразмещения файловнакаком-тожесткозафиксированном серваке. Вместоэтогокодчервяполучает нанесколькихпопулярныхресурсахтекущуюдатуипонейгенерируетсписокиз250 доменов, используяспециальныйалгоритм. Задачахозяевботнета— заблаговременно этидоменызарегистрироватьиразместить тамфайлыдлязагрузки. Противостоятьэтому нестолькосложно, сколькодорого. Перехватывая API-вызовы, отвечающие за обращение к DNS, заразе долгое время удавалось сдерживать антивирусы,

которые банально не могли обновиться, обращаясь к заблокированным доменам, со-

держащим слова kaspersky, nod, symantec, microsoft и т.д. z

025

hang

NOW!

BUY

>>m

BUY

w Click

pc_zone

w Click

-xcha

-x cha

СТЕПАН ИЛЬИН

/ STEP@GAMELAND. RU/

НАВИГАЦИЯ БЕЗGPS

КакопределитьсвоикоординатыпоIP, GSM/UMTS иWi-Fi

Тысячилетназадотакойштуке, какGPS, никтонемогдажемечтать. Номорякиипутешественникиотличносправлялисьснавигацией, используякомпасикарты, солнцеизвезды. Сейчас— векцифровой, нотожеестьнемалоспособовопределитьместорасположениебез всякихтамсистемглобальногопозиционирования.

Спорунет, GPS — класснаяштука, ночтоделать, еслиприемника подрукойнет? Далеконеукаждогоестьвстроенныйчипвмобиле. Даивладелецавтомобилясовсемнеобязательноуспелобзавестись

устройствомнавигации. Таккакжебыть? Еслинебратьврасчетредкиеи экзотическиеварианты, тоосновныхспособатри:

1.ОпределитьIP испомощьюспециальнойбазыданныхопределить город, вкоторомнаходишься, инередко— долготуишироту.

2.Определитьрасположениепонаходящимсярядомбазовымстанциям GSM/UMTS. Этовозможноприналичиибазыданныхсидентификаторамивышекиихкоординатами.

3.Использоватьдлявычисленияширотыидолготыинформациюо находящихсярядомточкахдоступаWi-Fi, передавзапроссиххарактеристикаминаспециальныйсервер.

Итак, начнемссамогопростого.

IP НАМВПОМОЩЬ

КогдамненужнопроверитьсвойвнешнийIP, чтобыубедиться, например, чтоявключилVPN илипрокси, явсегдаиспользуюсервис ip2location.com. Приятно, что, помимосамогоIP-адреса, выводится информацияопровайдере, егоместорасположении(город, страна, штат), азачастую… ещеикоординаты. Самособой, вбазенебудут указаныширотаидолготадлясамогообычногоклиентаинтернет-услуг. Какправило, данныеуказываютсядляпровайдера, реже— длякрупных компаний, имеющихбольшиедиапазоныстатическихIP. Получается, что, подключившиськсети(например, черезлюбойоткрытыйhotspot илипростовоспользовавшиськомпьютером), можносбольшойдолей вероятностиопределитьпримерноеместо, гдетынаходишься. Конечно, способпримитивный— иболеетого, самыйнеточныйизвсехпредставленныхвэтойстатье. Сдругойстороны, этореальныйшансопределить

месторасположение, всеголишьоткрывстраничкувинтернете. Аесли сварганитьспециальныйтрекер, установитьегонаКПКиотслеживать IP-шники, которыеонполучаетприконнектекоткрытымWiFi-сетям, то реальновычислитьпередвижениядевайса.

Использоватьсервисвчистомвиде, аименно— переходябраузером поссылкеip2location.com, скучноибеспонтово. Месторасположениена картенеувидеть, логнесохранить, асамастраницаслишкомтяжелая длямобильногоинета— короче, этоненашпуть. Отсервисанамнужно толькоодно— базасоответствийразныхIP-адресовихрасположению, которуюip2location предлагаетприобрестизадовольноразумные деньги. Самособой, подобныебазыбыстрорасплываютсяповарезным порталамиторрентам, причемвдвухвариантах: .cvs (текстовом) и.bin (бинарном). Стакойбазойнесложнозаточитьлюбоеприложениепод себя. Правда, IP-адресвбазехранитсявспециальномцифровомвиде безточекиразделениянаоктеты, носледующаяPHP-функцияпоможет привестиобычныйIP-шниккнужномувиду:

function Dot2LongIP ($IPaddr)

{

if ($IPaddr == "") { return 0;

} else {

$ips = split ("\.", "$IPaddr");

return ($ips[3] + $ips[2] * 256 + $ips[1] * 256 * 256

+$ips[0] * 256 * 256 * 256);

}

Имеятакойключдляадреса, ничегонестоитнайтисоответствующие

026	XÀÊÅÐ 04 /124/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
pc_zonew				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Базаданныхip2location

ОпределяемкоординатыпопараметрамMNC, MCC, LAC, Cell ID базовой станции, ккоторойподключены

КоординатыпоIP-адресу? Легко! Нооченьнеточно:)

емукоординатывтекстовойбазе. Еслижевраспоряжениибудетбаза вBIN-формате, тозадачаещепроще. ДляPerl, C, Python, PHP, Ruby, C#, VB.NET, Java, Visual Basic сервисомподготовленыготовыемодули

(http://www.ip2location.com/developers.aspx), которыелегкоиспользо-

ватьвсвоемпроекте. ВслучаесPHP достаточнозакинутьнасайтмодуль IP2Location.inc.php исоздатьнесложныйскриптик:

<?php

include("IP2Location.inc.php");

$ip = IP2Location_open("samples/IP-COUNTRY-SAMPLE.BIN", IP2LOCATION_STANDARD);

$record = IP2Location_get_all($ip, "_IP-АДРЕС_");

echo "$record->country_long : " . $record->country_long; echo "$record->city : " . $record->city;

echo "$record->isp : " . $record->isp;

echo "$record->latitude : " . $record->latitude; echo "$record->longitude : " . $record->longitude; IP2Location_close($ip);

Можнопростовывестинаэкран, залогироватьилиотобразитьнакартес помощьюGoogle Maps, передавширотуидолготувкачествепараметра:

http://maps.google.com/maps?f=l&hl=en&q='+query+'&near

='+str(lat)+','+str(lng)+'&ie=UTF8&z=12&om=1

ИСПОЛЬЗУЕММОБИЛЬНЫЕВЫШКИ!

Стараябайкаотом, чтоспецслужбымогутнайтичеловекапосигналу отегомобильника— одинизтехслучаях, когданасамомделевсетаки есть. Дачеготамспецслужбы, еслинаэтоспособнадажесовершенно бесплатнаяпрограммаGoogle Maps (www.google.com/gmm).

Посути, этоудобнаяоболочкадлядоступакодноименномувеб-сервису, позволяющемусмотретьфотографииместностисоспутника, рельефи— во многихслучаях— картысвозможностьюпроложитьмаршруты. Думаю, рассмотретькрышусвоегодомачерезmaps.google.com пробоваливсе. Работатьстакимсайтомчерезбраузернамобильномтелефоне(дажеесли этосверхскоростнаяOpera Mini) крайнесложно, поэтомувGoogle, подсуетившись, сделалиудобнуюоболочкудляпросмотракарт. Оформилиеев видеприложениядлясамыхразныхплатформ— отобычныхмобильных, поддерживающихJava, досмартфоновикоммуникаторовнаWindows Mobile иSymbian S60 3rd Edition, престижныхBlackBerry, атеперьещеи

Android, ккотороймыпоканепривыкли, нооченьскоробудемвосприниматькакоднуизосновныхплатформдлятелефона. ВтомжеiPhone Google Maps встроенапоумолчанию. Таквот, помимоудобногопросмотраэтих самыхкартиспутниковыхснимков, уутилитыестьодназамечательная кнопка«Моеместорасположение». Одинклик— инакартеотмечается нахождениетелефона. Да, длявладельцевтрубоксGPS этосущаяерунда: нашличемудивить! Нонадовидетьлицатехпользователей, которыеобна-

ружилинаэкранесвоеместорасположение, хотяникакихнавигационных приблудунихнебылоивпомине! Впрочем, этотолькотаккажется. Телефоннаятрубкавсегданаходитсявзонедействия, поменьшей мере, однойбазовойстанциисотовойсети. Ну, илиненаходится— нов этомслучаеотнеетолкунеболеечемоткирпичика. Любаяизбазовыхстанцийимеетнекоторыйнаборпараметров, которыеполучает телефон— благодаряэтомукаждуюБСможнораспознать. Одинизтаких параметров— CellID (сокращенноCID) — уникальныйномердлякаждой соты, выданныйоператором. Знаяего, тыможешьраспознатьбазовуюстанцию, азнаярасположениебазовойстанции, можешьпонять, гденаходишься. Точностьварьируетсяотнесколькихсотенметровдо несколькихкилометров, ноэтонеплохаяотправнаяточка, чтобыразобратьсяскоординатами.

Получается, имеявналичиитабличку, гдевсоответствиискаждой базовойстанциейбудетсопоставленыеекоординаты, можнопримерно вычислитьположениеабонента. АразGoogle Maps можеттаклихоопределятьместорасположениечеловека, тоунеготакаябазаданныхесть. Нооткуда? Расположениебазовыхстанциейразличныхоператоров— пускайинесекретная, новрядлиоткрытаяинформация. Дажеучитывая масштабностьпроектовГугла, струдомможноповерить, чтототдоговорилсясовсемиоператорамисотовойсвязи— определениеместоположенияработаетвлюбомместе(забегаявперед, скажу, чтоправильнее говорить«можетработатьвлюбомместе»). Ответскрываетсявлицензионномсоглашениивовремяустановкипрограммы, накоторыймы, конечноже, забилиисразунажали«Ясогласен» :). Аведьтамчернымпо беломунаписано, что, принимаясоглашение, мыразрешаемпрограмме анонимнопередаватьнасерверинформациюотекущемрасположениииинформациюосотовыхвышкахпоблизости. Да! Базуданныхс примернымикоординатамибазовыхстанцийсоставляютдляGoogle самипользователиGoogle Maps, имеющиенабортусвоихтелефонови коммуникатороввстроенныйприемникGPS. Ичтосамоеклассное: даже приполномотказеотиспользованиякакофициальных, такинеофициальных(собранныхэнтузиастамиспомощьюспециальныхсканеров— подробнеечитайвоврезке) базсрасположениемстанций, функциядля определенияместорасположенияработаетна«ура». Проверьсам.

GSM-НАВИГАЦИЯСВОИМИРУКАМИ

Возможностьпосмотретьвпрограммесвоерасположение— самопо себездорово, норазвежможноотказатьсяотсоблазнаиспользовать базыGoogle’авкорыстныхцелях? Кактебе, например, идеясоздать собственныйтрекер, которыйопределялбытекущеерасположениеБСи передавалегонанашсервер? Эдакийжучоксредствамисамоготелефона, которыйработаетвездеивсегда!

КомпаниянеразглашаетпротоколвзаимодействияGoogle Maps, непубликуяAPI, однакоеголегковскрыли, простопроснифавтрафикиреверснувчастькода. Помимоhttp-запросовназагрузкукарт, отчетливовидно, чтопрограммаотправляетзапросыпоадресуhttp://www.google.com/ glm/mmap, причемименнотогда, когдапользовательжелаетполучить текущееместорасположение. Вотипопалсянашскриптик— вкачестве

XÀÊÅÐ 04 /124/ 09	027

hang

NOW!

BUY

>>m

BUY

w Click

pc_zone

w Click

-xcha

-x cha

links

• ПараметрыGoogle

Maps: mapki.com/

wiki/Google_Map_

Parameters.

NetMonitor дляSymbian

• ДелаемGPS-адап-

показываетнужные

нампараметрыбазовой

тердлямобильного

СкриптдлявзаимодействияссервисомGoogle

станции

НавигациячерезWi-Fi: на

телефонасвоими

картеобозначенытакиеже

руками:

пользователи

tinkerlog.com/2007/

параметровемупередаютсятехническиезначениябазовой

07/13/interfacing-an- станции: MCC, MNC, LAC иCellID.

avr-controller-to-a-

print 'no data in google'

gps-mobile-phone.

MCC — код страны (для России — 250)

except:

MNC — код сети (МТС — 01, Мегафон — 02, Билайн —

print ‘connect error’

• Мануалпополу-

99 è ò.ï.)

чениюкоординат

LAC — код локальной зоны (другими словами,

Длязапуска, естественно, потребуетсяинтерпретатор

поданнымсотовой

совокупности базовых станций, обслуживаемых

Python’а(обязательно2-йветки, потомукакна3-йне

точкичерезYahoo:

одним контроллером)

запустится), которыйможноскачатьссайтаhttp://python.

developer.yahoo.

CellID (CID) — идентификатор, состоит из номе-

org/download/releases. Впервойстрокескрипта, как

com/yrb/zonetag/

ров базовой станции и сектора

несложнодогадаться, необходимоподставитьNET (MCC и

locatecell.html.

MNC, написанныеслитно), CID, LAC. Врезультатескрипт

Зная, кудапосылатьданные, осталосьэтизначения

сформируетзапроснасерверhttp://www.google.com/

• Реализацияработы

получить! Наиболеепростойспособ— прямовпрограмме

glm/mmap иотправитего. Еслибазоваястанциясэтими

сбазойданных

Google Maps перейтив«Справку», тамщелкнуть«Общие

параметрамиестьвбазе, тонаэкранвыведутсякоордина-

Google Maps.

сведения», ивсамомконцеэтойстраничкибудетстрока

ты, например, «59.200274 39.836925». Впротивномслучае

НаPHP: http://www.

спараметрамивформатеmyl:MCC:MNC:LAC:CellID. Куда

скриптвыдастошибку: «no data in google». Любителям

witracks.com.br/

большийпростордлядеятельностипредоставляютспе-

программироватьнесоставиттрудадобавитьпарустро-

gmaps.txt.

циальныепрограммыnetmonitor’ы: сихпомощьюможно

чек, например, поуказаннымNET иLAC перебратьвсе

j2me: http://www.

логироватьпараметрыприпереключенииотоднойстан-

вариантыCID (от1 до65536), и, посмотрев, какиесектора

mapnav.spb.ru/site/

циикдругой, извлекатьпараметры«соседей» (находя-

имеютсяуГугла, узнатьихпримерныекоординаты. Если

e107_plugins/forum/

щихсявполезрениядругихБС), даипростополучатькуда

тебенеохотаморочитьголовускриптами, нанашдискмы

forum_viewtopic.

болееподробнуюинформацию. Длякаждойплатформы

выложилиGUI-программу, написаннуюнаC# (исходники

php?9736.

естьсвоиреализациинетмониторовсразличнымивоз-

прилагаются). Вэтомслучаетыавтоматическиполучишь

НаPython дляS60:

можностями— тыможешьвыбратьпрограммуподсебя,

ещеиссылку, отображающуюкоординатынасайтеGoogle

http://blog.jebu.

почитавврезку.

Maps. Ссылкинареализациинадругихязыкахсмотрив

net/2008/07/google-

Теперь, когдавсенеобходимыепараметрыполучены,

боковомвыносе. Интересно, чтонасерверпередаются

cell-tower-mapping-

можнообратитьсянасерверипопробоватьполучитьответ.

всеголишьтрипараметра, причемключевымиявляются

with-python-on-s60.

ПриведудляэтогонесложныйскриптнаPython’е, который

толькозначенияLAC иCellID. АMCC/MNC необходимына

НаC#: http://maps.

написалнашсоотечественникSkvo иопубликовалнафору-

тотслучай, есливбазеестьнесколькопарсодинаковыми

alphadex.de/datafiles/

меforum.netmonitor.ru:

LAC, CellID. Приэтомтелефонможетполучатьнамного

fct0e1b11782832f02.

большеинформацииотекущейстанции— взятьхотябы

cs.

net, cid, lac = 25002, 9164, 4000

мощностьсигнала, однакоэтипараметрыврасчетахне

НаDelphi: http://

import urllib

используются. Получаетсякрайнепростойалгоритм. Один

forum.netmonitor.ru/

a = ‘000E00000000000000000000000000001B000000

сектор— однакоордината; независимооттого, находится

about4470-0-asc-60.

0000000000000000030000’

липользовательв100 метрахотбазовойстанцииилив

html.

b = hex(cid)[2:].zfill(8) + hex(lac)[2:].

километреотнее, координатабудетодинаковая!

zfill(8)

Отдельнохочусказать, чтозамечательныйпроект«Яндекс.

c = hex(divmod(net,100)[1])[2:].zfill(8) +

Карты», которыйяособеннолюблюзавозможностьотобра-

hex(divmod(net,100)[0])[2:].zfill(8)

женияточек, имеетточнотакойжефункционал. Ировнотак

string = (a + b + c + ‘FFFFFFFF00000000’).

же, какиGoogle, предоставляетсвоейпрограммеданныео

decode('hex')

точкепозапросусуказаниемCell ID, LAC, NET параметров:

try:

data = urllib.urlopen('http://www.google.

http://mobile.maps.yandex.net/cellid_locati

dvd

com/glm/mmap',string)

on/?&cellid=%d&operatorid=%d&countrycode=%d

Всеописанные

r = data.read().encode('hex')

&lac=%d

скрипты, утилитыдля

if len(r) > 14:

трекингаинавигации

print float(int(r[14:22],16))/1000000,

Единственноеотличиевтом, чтоответсервис«Яндекса»

тынайдешьнанашем

float(int(r[22:30],16))/1000000

возвращаетвXML-формате, которыйлегкоиудобнопарсит-

диске.

else:

сядляизвлечениялюбыхпараметров.

028	XÀÊÅÐ 04 /124/ 09

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
pc_zonew				to	BUY
w Click				to
w Click									o	m
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ЕслиданныеоБСестьуGoogle, тосервервозвращаетеекоординаты

КАКЗАСТАВИТЬРАБОТАТЬНАВИГАЦИОННЫЕПРОГРАММЫ

КакойбызамечательнойнибылапрограммаGoogle Maps, использовать еевкачественавигационногоинструмента, мягкоговоря, затруднительно. Былобыздорово, пускайипримерные, новсе-такикоординаты скормитьнормальнойпрограмменавигации, схорошимикартами, подробнойадресациейипроработаннымиалгоритмамипрокладкимаршрута. Некоторыепрограммы, например, «Навител» и«Автоспутник» имеютещеодинплюс: ониумеютподгружатьинформациюопробкахи учитыватьееприсоставлениимаршрута. Чистотеоретически, ничегоне стоитнаписатьподобноеприложениесамому. Алгоритмпрост:

1.Получаемтекущиекоординатыприкаждойсменебазовойстанции;

2.Отправляязапроснаспутник, получаемпримерныекоординаты;

3.ЭмулируемвсистемепоследовательныйпортивпростомформатеNMEA, которыйиспользуютGPS-навигаторы,транслируемтудатекущиекоординаты. ИменноэтотпринциплежитвпрограммеVirtualGPS (www.kamlex.com), предназначеннойдляустройствнаплатформеWindows Mobile 2003, WM 5, WM 6, WM 6.1. Бесплатнаяlite-версияпрограммыопределяеттекущее расположениеповышкамсотовойсвязииэмулируетGPS. Послезапуска прогасоздаетвсистеменовыйпорт, которыйнужноуказатьвнастройках любимойнавигационнойпрограммы— ита, ничегонеподозревая, будет считать, чтоподключенакнастоящемуGPS-приемнику.

НАЧТОСПОСОБЕНWI-FI

Будучираздосадовантем, чтобольшинствоWiFi-точкевгороделибо закрыты, либоплатные, подумайотом, чтоиимможнонайтиприменение. Полагаю, ненадоговоритьдлячего:). Принципточнотакойже: определиввсеточкидоступапоблизости, отправляеминформацию

оMAC-адресах(добавляяприжеланииидентификаторсетиSSID) на специальныйсервис. Тотпроверяетихкоординатыивыдаеттебетвое примерноерасположение. Такаятехнологиядавнофункционируетв Штатах, гдепокрытиеWi-Fi зашкаливаетнастолько, чтоскрытьсяотнего уже, похоже, негде. WPS (Wi-Fi Positioning System) предоставляеткомпанияSKYHOOK Wireless (www.skyhookwireless.com), разработавшая клиентскиеприложениядляразныхплатформисобравпервоначальную базусточкамидоступа. Быстропоявилисьиальтернативныеприложения, которые, используяAPI-сервиса, получаюткоординатыпользователя. Срединих— замечательныйплагиндляFirefox’аGeode (http:// labs.mozilla.com/geode_welcome), которыйподставляетинформацию

отекущемместоположенииналюбомвеб-сайте(вовремясоздания новогопоставблог, например).

	Функция«Локатор»
	позволяетвреальном
	времениотслеживать,	Клиентскаячасть
	гденаходятсятвои	Клиентскаячасть
	друзья	трекера, которая
	Определяеммес-	отсылаеттекущие
	Определяеммес-	координатыдевайса
	торасположениев	координатыдевайса
	торасположениев	наспециальныйвеб-
	Google Maps	наспециальныйвеб-
	Google Maps	сервер
		сервер

Увы, вРоссиихотькак-тозаставитьработатьSKYHOOK мнетакине удалось. Затонашисоотечественникивплотнуювзялисьзареализацию подобнойидеи, воплотиввжизньсервисWi2Geo (wi2geo.ru), который мнепочему-тооченьхочетсяназватьWi2Go :). Ребятаужесейчаспредо-

ставляютприложениядляWindows Mobile, Symbian, Windows иMac OS X, адлянавигациииспользуютбазуIP-адресов, информациюоячейках GSM и, собственно, точкахдоступаWi-Fi. Базыникомунезапрещеноиспользоватьвсвоихцелях, воспользовавшисьоткрытымAPI (http://labs. wi2geo.ru/basicapi.php). Огорчаеттолько, чтопроектбудетразвиваться тольковтехгородах, гдебольшоепокрытиеWi-Fi. Атаковымпокаможно назватьтолькоМоскву.

АКАКЖЕТРЕКИНГ?

Вышемыговорилиотрекингепользователя— системе, позволяющей вреальномвремениотследитьположениепользователянакарте. Неплохо, еслибыподобнуюштукуустановилинасвоителефонывсе друзья. Тогданичегобынестоилоузнать, ктогде, ипринеобходимости

— договоритьсяовстрече. РебятаизGoogle реализовалиэтовфункции Google Latitude, снедавнеговременидоступнойопятьжепользователяммобильныхGoogle Maps. Ксожалению, черезбраузерпросмотреть расположениедрузейможнотольковШтатах, новедьничегонемешает использоватьамериканскийпрокси?

Естьидругойвариант. Насайтеhttp://forum.xda-developers.com/ showthread.php?t=340667 совершеннобесплатноможноскачатьспециальнуюпрограммудлятрекинга, клиентскаячастькоторойустанавливаетсянакоммуникаторнабазеWM, асерверная— налюбойвеб-сервер. ДалееположениеобъектаможнопросмотретьчерезпрограммуGoogle Earth. Реальноработающеерешениедлябизнеса, котороесучетом открытыхисходниковнесложнодоработатьподсебя! z

Программы NetMonitor

Чтобы понимать, какую базовую станцию телефон использует в текущий момент, и получить ее параметры, понадобятся специальные программы. К сожалению, универсальной программы нет, поэтому для каждой платформы придется найти подходящий инструмент!

Symbian: FieldTest, CellTrack, Best GSMNavigator

Windows Mobile 2005: GPS Cell

Windows Mobile 5.0/6.0: NetMonitor32, WMCellCatcher, CellProfileSwitcher (замечу, что не все программы работают со всеми радио-прошивками)

О базовых станциях сотовых сетей

В статье я упоминал о неофициальных базах данных с расположением вышек различных сотовых сетей. В интернете существует немало проектов, где энтузиасты делятся собранной нетмониторами информацией. Из иностранных это — celldb.org/aboutapi. php, www.opencellid.org/api, http://gsmloc.org/code, cellid.telin. nl. Каждый из них имеет простой API для получения координат с помощью обычного HTTP-запроса, при этом в качестве параметров указываются традиционные MCC, MNC, Cell ID и LAC.

Отдельно хочу упомянуть наш русский проект Netmonitor.ru, в котором собрана инфа о большом количества БС Мегафона, МТС, Билайна, ТЕЛЕ2 и даже Skylink. К тому же, на сайте располагается еще и крупнейший форум для исследователей сотовых сетей.

XÀÊÅÐ 04 /124/ 09	029

<<< < Предыдущая 1 23 / 143 4 5 6 7 8 9 10 11 12 13 14 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202434.23 Mб12119_Optimized.pdf
#
20.04.202432.48 Mб12120_Optimized.pdf
#
20.04.202447.9 Mб12121_Optimized.pdf
#
20.04.202449.28 Mб12122_Optimized.pdf
#
20.04.202422.66 Mб12123_Optimized.pdf
#
20.04.202414.76 Mб12124_Optimized.pdf
#
20.04.202411.92 Mб12125_Optimized.pdf
#
20.04.202412.83 Mб12126_Optimized.pdf
#
20.04.202416.73 Mб12127_Optimized.pdf
#
20.04.202416.61 Mб12128_Optimized.pdf
#
20.04.202415.04 Mб12129_Optimized.pdf