Всем привет с вами [SK] сегодня наткнулся на очередную фейк программу и подумал почему бы не написать руководство по их распознаванию.
Инструменты которые нам потребуются:
Всем известный хекс редактор – WinHex (Можно воспользоваться любым другим)
Редактор ресурсов, я буду использовать редактор ресурсов встроенный в PE Explorer
Программы легко гуглятся, так что не спрашивайте у меня где их достать.
В качестве примера я взял фейк RFLogin'a который обнаружил на одном форуме.
Начнем с того что запустим PE Explorer. Он выглядит вот так:
47263860.jpg
Перетащим на него исследуемую программу и затем нажмем на указанный значек:
10388447.jpg
Откроется редактор ресурсов. В левой части отображается список групп ресурсов. В нем мы видим такую группу как
“RC Data” присутствие этой группы уже говорит о том что программа написана либо на Delphi либо на C++ Builder. Открыв эту группу мы видим среди ее ресурсов "DVCLAL". Выбрав его мы узнаем компилятор:
52666027.jpg
Так же мы видим ресурс под названием “TFORM1” это текстовый ресурс описывающий формы формата Delphi/C++ Builder. В PE Explorer’е он структурирован и можно посмотреть каждый объект в отдельности по уровням вложенности. Щелкаем на плюсик что бы раскрыть список, внутри видим объект под названием “Form1: TForm1” это главная форма программы. Его так же раскрываем и видим элементы находящиеся на форме, среди них есть “IdSMTP1: TIdSMTP ”, это и есть компонент с помощью которого происходит отправка письма. Выбираем его и в правой части видим список его свойств:
1.MaxLineAction = maException
2.ReadTimeout = 0
3.Host = 'smtp.mail.ru'
4.Port = 2525
5.AuthenticationType = atLogin
6.Password = 'qweasd'
7.Username = 'moneyfreeze'
8.Left = 2
9.Top = 5
64232205.jpg
Из этого мы видим, что программа подключается к почтовому серверу 'smtp.mail.ru' под логином 'moneyfreeze' с паролем 'qweasd' иными словами она отправляет пароли с почтового ящика '[Ссылки могут видеть только зарегистрированные пользователи. ]' . Паролем от этого ящика является 'qweasd'. Заходим на этот ящик и меняем пароль, тем самым обламываем программу и ее создателя, так как она уже не сможет входить на ящик и отсылать пароли.
Мы определили ящик с которого отсылаются пароли. Как же определить куда они уходят? Запускаем WinHex и открываем в нем исследуемую программу. Теперь вызовем диалог поиска нажатием “Ctrl+F” и предполагая что у злоумышленника ящик для приема писем зареган в той же зоте что и для отправки, в поле для поиска вписываем “.ru” так же можно вписать любой другой предполагаемый домен.
68516783.jpg
Нажимаем на кнопку “OK” и первый же найденный результат приводит нас к ответу, на скрине первый выделенный ящик является получателем, а второй отправителем.
46426634.jpg
Вот мы и распознали фейк программу. Даное руководство не является шаблонным, ведь программы могут быть написаны по разному, я лишь показал пример возможного обнаружения, так что при анализе программ включайте серое вещество и все получится. =)
Всем спасибо за внимание!