31, మార్చి 2010, బుధవారం

గుఢాచారి నెంబర్ - 2 ------------>>>>>>>.>... గుట్టురట్టు. ( Trojan horse )

పోయిన సారి టపాలో మనము మన గుఢాచారి నెం-1(ట్రోజన్ హార్స్) ఏమేమి చేయగలదో చూసాము కదా. ఈరోజు దానికి ప్రాణాన్ని పోద్దాము.

ఈ బుడ్డి గుడాచారి మహా ముదురు!!!. ఇది చేయగల పనులివి

1) మీ కంప్యూటర్ లో ఎన్ని డ్రైవ్ లు వుంటే అన్ని డ్రైవ్స్ లో ఫైల్స్ ను ఒక దాని తరవాత ఒకటి పరీక్షించి వైరస్ లను తొలిగిస్తున్నట్టు నటించగలదు.
2)అలా వైరస్ స్కానింగ్ చేస్తూ మీకంప్యూటర్లో మీరు టైపు చేసే ప్రతి అక్షరాన్ని ఒక ఫైల్ లో భద్రపరచ గలదు
3) ప్రతి పది సెకనులకొకసారీ మీ స్క్రీన్ షాట్ ను, మీరు టైపుచేసిన అక్షరాలను తన యజమానికి చేరవేయగలదు.

ఇది కేవలము జ్ఞానసముపార్జనకోసమే వ్రాసిన అప్లికేషన్ కాబట్టి ఈ అప్లికేషన్ మీ కంప్యూటర్ లో దాంకుని పని చేయాల్సిన అవసరం లేదు కాబట్టి ఇది పని చేసే ప్రాసెస్ మీకు టాస్క్ మేనేజర్ లో యధాతధంగా కనిపిస్తుంది. నిజమైన ట్రాజన్ లు తమ వునికిని కనిపెట్టకుండా సిస్టమ్ ప్రాసెస్ పేర్లమీద పనిచేస్తుంటాయి.కాబట్టి ఏది అసలో ఏది నకిలీనో కనిపెట్టడం కొంచెం కష్టమైన పని. దీన్ని చూపించడానికి ఈ అప్లికేషన్ కీలాగర్ ను lsass.exe పేరు పెట్టి కంపైల్ చేయవచ్చు. అప్పుడది మీ user process లో lsass.exe అనే పేరుతో పనిచేస్తుంది. దీన్ని విండోస్ టాస్క మేనేజర్ ద్వారా చంపేద్దామనుకుంటే కుదరదు. అన్యధా శరణం నాస్తి అయినట్టు, అన్ని జబ్బులకు ఒకటే పరిష్కారం. మీ కంప్యూటర్ ను Re-start చేయడమొక్కటే మార్గం.సారి సారికి కంప్యూటర్ ను Re-start చేయడం తప్పించడానికి దీనికి CkeyL.exe అని నామకరణం చేశాను.

అంతా కలిపినా దీని సైజు ఏడువందల కిలో బైట్స్ కు మించలేదు. అది కూడా User interface తో కలిసి. ఇది నిజంగా ట్రాజన్ వైరస్ లా పని చేయాలంటే రెండువందలకు కూడా మించకుండా తనపని తాను చక్కగా చేసేయగలదు.పనిలో ఏవైనా తప్పులు (errors ) వచ్చినా అవి బయటకు కనిపించకుండా దాచేస్తుంది. మొత్తానికి ఈ అప్లికేషన్ లో నాలుగు చిన్న చిన్న ఉపకరణులున్నాయి.

1) File scanning utility
2) Send mail utility
3) key logger utility
4)Image making utility

ఇందులో File scanning utility starts a main thread. Image making and send mail utility runs on diffrent thread. Key logger runs on entirely different process.

అంటే ఎప్పుడైతే File scanning మొదలౌతుందో ఈ అప్లికేషన్ తను చెయ్యాల్సిన పనులను విభజించి పంచేస్తుంది అన్నమాట. దీనికి కారణం user కి ఎటువంటి అనుమానం రాకుండా మిగిలిన పనులన్నీ background లో జరిగిపోతాయి. అలాగే ఈ Filescanner ప్రతి పదిసెకనులకొకసారి Image making utility నుండి మన కంప్యూటర్ screen images తీసి , అప్పటిదాకా భద్రపరచిన key logs అన్నింటిని తీసుకొని Send mail utility కి మైల్ పంపమని పురమాఇస్తుంది. ఆ తరువాత తన ఉనికి గుర్తు పట్టకుండా screen images అన్నింటిని తొలిగించకలదు. కానీ మన intention వేరు కాబట్టి ఇది మీరు చూడటానికి అనువుగా వాటిని తొలిగించకుండా అక్కడే వుంచుతుంది. నిజానికి ట్రాజన్ వైరస్ లు మైల్స్ కంటే ఎక్కడో అనామకంగా వున్న సర్వర్స్ లోకి మీ సమాచారాన్ని చేరవేస్తుంటాయి. అంటే నిజమైన ట్రాజన్ లకు మైల్ ఐడి,పాస్వర్డ్ అక్కరలేదు. ఒకవేళ మైల్ మార్గాన్ని ఎంచుకున్నా e-mailID, password లను encrypt చేసి మైల్స్ కూడా పంపగలగేట్టు చేయవచ్చు.

ఇక ఇందులో ముఖ్యమైన సమాచారం మీ మీ కంప్యూటర్స్ లో చూడాలంటే ఈ క్రింది సమాచారాన్ని జాగ్రత్తగా చదవండి.

అన్ని ఇమేజ్ లు మరియు కీలాగర్ ఫైల్ ను మీరు C:\Documents and Settings\yourloginname\Local Settings\Temp చూడవచ్చు. ఇక్కడ yourloginname ని మీరు కంప్యూటర్ లో ఏ యూజర్ తో లాగిన్ అయితే ఆ యూజర్ పేరు ను వుంచాలి.

In this folder all screen shots are named as screen1.jpg, screen2.jpg, screen3.jpg etc... for every 10 seconds

you will also see a .txt file as .txt. We can always hide this text file too. This text file saves all the key strokes in appending nature.

ముందుగా ఇది పనిచేయటానికి మీ కంప్యూటర్లో విండోస్ ఆపరేటింగ్ సిస్టమ్ వుండాలి. ఆ తరువాత .net framework 3.5 with service pack 1 వుండాలి. .net framework మైక్రోసాఫ్ట్ వారి ఉచిత డెవలప్ మెంట్ ఫ్రేమ్ వర్క్. దానిని ఇక్కడ http://www.microsoft.com/downloads/details.aspx?FamilyId=333325FD-AE52-4E35-B531-508D977D32A6&displaylang=en నుండి Download చేసుకోండి.

లేదా మీరు ఈ అప్లికేషన్ ను install చేసేటప్పుడు దానికదే మైక్రోసాఫ్ట్ నుండి Download చేసి మీకంప్యూటర్ లో install చేయగలదు. ఈ అప్లికేషన్

To install this application, download it from here and double click on setup. ఆ తరువాత సాధారణంగా అన్నీ Next అనే బటన్ నొక్కడమే. ఏమైనా ఇబ్బందులు ఎదురైతే దయచేసి వ్యాఖ్యగా వ్రాయండి

నిజానికి ఈ ప్రోగ్రామ్ వైరస్ లా పనిచేయాలంటే ఈ ప్రక్రియ అంతా ఏదీ వుండదు. మొత్తం దొడ్డిదారిలో జరిగిపోతుంది. కానీ మనము ఇక్కడ ఇంటెర్నెట్ వాడకంలో మనమెంత సౌఖ్యమో చూడటమే దీని ప్రధాన వుద్దేశ్యం.

క్రింద ఇచ్చిన లింకు నుంచి అప్లికేషన్ ను చేసుకోండి.
kurukshetram.zip

For the people who wish to examine the code, goto "C:\Program Files\haaram\Kurukshetram" ( After installation ). Use ILDASM,test it and write your opinion.

దీని అసలు పవర్ తెలియాలంటే మీరొక ఫేక్ అకౌంట్ క్రియేట్ చేసుకోండి. కారణం ఈ అప్లికేషన్ నుంచి మైల్ పంపాలంటే ఒక జి-మెయిల్ అకౌంట్ కావాలి. నిజానికి ఈ అకౌంట్ ను నేను అప్లికేషన్ లో హార్డ్ కోడ్ చేయవచ్చు. చేస్తే ఇంకేమన్నా వుందా????? మీరు మీ పాత gmail ID వాడవచ్చు కానీ అది సమర్థనీయం కాదు. ఎందుకో మీకు ఈ ఉపకరణి ని వాడిన తరువాత తెలుస్తుంది.

మొత్తానికి install చేసారు, ఇప్పుడేమిటి? తరువాత మీరు మీ Desktop మీద Kurukshetram అనే ఐకాన్ నొక్కగానే ఈ క్రింది స్క్రీన్ కనిపిస్తుంది.



Next Click on Settings. You will see the following screen.




ఇప్పుడు మీరు దీనికోసమే తయారుచేసుకున్న gmail ID username and password ని enter చేయండి. అలాగే "Tomail" అన్న బాక్స్ లో కూడా ఇదే మైల్ ఐడిని వాడండి. అంటే మీరు మీకే మైల్ పంపుకుంటున్నారన్న మాట.

చేసిన తరువాత మళ్ళీ Scanner మీద నొక్కండి. తరువాత Start button నొక్కండి.

ఓ ఐదు పది నిమిషాలు మీ పని మీరు యధాప్రకారం చేసుకోండి. ఓ ఐదునిమిషాల తరువాత మీ క్రొత్త మైల్ లో మైల్స్ ను చూడండి. హాయిగా నిద్రపోండి :)))

మీరు ఏకారణం చేతైనా ఈ screen minimize చేస్తే మీకు అది system tray లో చిన్న ఐకాన్ లాగా కనిపిస్తుంది. Rightclicking on that icon gives you a context menu as



"పెద్దదిగా చూపు" అనేది క్లిక్ చేస్తే మీ స్క్రీన్ మళ్ళీ కనిపిస్తుంది.

ఇలా Test చేయగా నాకు వచ్చిన మైల్స్ లో ఒక స్క్రీన్ షాట్ ఇది. Sensitive data is removed.





మీకు ఒకవేళ ఏకారణమ్చేతనైనా మైల్ రాకపోతే ... go to "C:\Documents and Settings\{yourloginname}\Local Settings\Temp", you will see all of your activities with full blown .jpgs and a single text file.




తనిఖీ పూర్తి అయిన తరువాత Click on "Exit" button. మీరు Exit button నొక్కినతరువాత ఈ అప్లికేషన్ తను పనిచేయడానికి వాడుకున్న రెండు ప్రాసెస్ లను చంపేస్తుంది.


If you want to completely remove the application go to Addremove programs and uninstall Kurukshetram.

links :

1)application can be downloaded here.

kurukshetram.zip

2) .net framework can be downloaded from http://www.microsoft.com/downloads/details.aspx?FamilyId=333325FD-AE52-4E35-B531-508D977D32A6&displaylang=en


What do you think?

6 కామెంట్‌లు:

  1. .వీరంతా ఘరానా దొంగలన్న మాట . నెట్ దొంగ ల నుండి మనల్ని మనం ఎలా కాపాడుకొవచ్చోచక్కగా వివరించారు అర్ధం చేసుకోవడానికి కొంత కష్టపడాల్సిందే

    రిప్లయితొలగించండి
  2. చిన్ని గారూ, పోస్ట్ మొత్తం ట్రాజన్ గురించే అండీ. ఎలా కాపాడుకోవాలో తరువాత ఎప్పుడైనా వ్రాస్తాను.

    రిప్లయితొలగించండి
  3. చూస్తానికి బలే exciting గా వుంది కాని ఇలాంటిదొకటి ఎక్కడ నుంచో రిమోట్ గా జనాలు మన కంప్యూటర్ మీద వాడతార్ ఉఅనుకుంటే భయం వేస్తోంది. అందుకే హాయిగా సంతకాలు మానరా వేలిముద్రలెయ్యరా అని పాడుకుంటూ కాగితాల మీద పని చేసుకోవటం బెటర్ ఏమో... :-)

    రిప్లయితొలగించండి
  4. భావన, నిజమే... ఈ అప్లికేషన్ వాడిన ఎవరికైనా అదే అభిప్రాయం కలుగుతుంది. కారణం మన ప్రతి కదలికను పసిగట్టి సినిమా చూపించినట్టు చూపుతుంది. ఇక సెక్యూరిటీ అంటారా, మీరు చెప్పినట్టు వేలుముద్రకున్న సెక్యూరిటీని ఇప్పట్లో బ్రేక్ చేయడం కష్టమే :)

    రిప్లయితొలగించండి
  5. శ్రావ్యా, మీ ఫ్రెండు కంప్యూటర్ మీద ట్రై చేస్తే చేసారు కానీ, టు మైల్ ఐడి , మీది మాత్రం ఇవ్వకండి, తెలిస్తే మీ ఫ్రెండ్ మిమ్మల్ని ఈ జీవితంలో క్షమించరు :-). అయినా ఇది సరదాకు ఎట్టి పరిస్థితుల్లో వాడొద్దు అండి.

    రిప్లయితొలగించండి

Comment Form