В далеком 2006 году, я установил китайский AMV конвертер для MP-плеера, потом его удалил, но деинсталлятор прочистил не все файлы, то есть не полностью. Мне было любопытно, заглянул и увидел, что остался только один файл с именем «DelDrv.exe».
Как я «усыпил» быдлохакеров? Читать дальше.
Я, не подозревая, этот файл копировал(дублировал файл в ту же папку), и его запустил и заметил, что этот файл без спроса удалил только что скопированный файл. Протестировал и охренел. «DelDrv.exe» удаляет все подряд, и файлы, и папки в текущей папке. Размер 24 кб, не сжатый и не зашифрованный. В момент запуска выполняет команду devcon remove «USB\Vid_10d6&Pid_ff51», после чего начинал рекурсивное удаление всех файлов и папок в текущем каталоге. Никакого уведомления о выполняемых действиях или запроса на их выполнение программа не выводила. Если файлы были заняты в процессе, то «DelDrv.exe» просто оставил их. Подробнее про devcon remove.
Так появилась у меня идея и использовал этот файл для очищения компа от мусора во временной папке (виндовский temp, например). Просто создал ярлык на рабочем столе и в его свойстве прописал путь к файлу «DelDrv.exe» в Temp, в то время у меня на винте не хватало свободного пространства (на 2006 год оптимальное соотношение цены и ёмкости обеспечивают винчестеры примерно на 300 ГБ, а максимальная доступная ёмкость — около 750 ГБ). Запускал ярлык и «минус» 1–2 гб места на винте. Экономия! Пользовался им до тех пор, пока не приобрел новый жесткий диск большого объема. После покупки винта потихоньку забывал о «DelDrv.exe». В принципе файл отличный чистильщик компа от мусора. Нужно быть предельно аккуратным, файл с одной стороны действительно «вредоносный», но очень полезный в других целях.
В конце 2008 году заметил, что у меня на своем сайте (CMS Joomla) кто-то что-то выкапывал типа дыры. Кто-то пытался вставить XSS в любое место, где можно вставить текст. Часто засорялись логи 404-страницы, которые забивали винт до отказа. Изучение логов дало представление о том, насколько могучие ряды быдлохакеров. Везде тупо пытались применять доисторические уловки вроде вписывание в URL строчки «or 1=1; delete from…» только потому, что это единственное, о чём они прочитали в заоблачной библиотеке. Они полагали, что программисты известных сайтов так же тупы, как и они. Просто меня они так достали, как бельмо на глазу, и я ставил ловушку. Что за ловушка? Угадали? Решил поиграть с быдлохкером с использованием файла «DelDrv.exe», так как антивирусы не реагировали на активность этого файла. Знаю, что быдлохакеры обычно хранят или накапливают хакерские проги и всякие видеоролики про взлом на винте и т.д., поэтому я желал уничтожить их «сбережения» как можно больше, и нанести им ушерб.
В самораспаковывающихся архиве «Ключи.Пароли.Блокнот.ехе» всего 2 файла: auto.bat и «DelDrv.exe». В bat имеются команды: копирование во всем корневом диске и запускать все файлы «DelDrv.exe». Еще раз упакует в архиве с именем «Passwords.rar», чтобы в окошко винраре быдлохакер запускал файл «Ключи.Пароли.Блокнот.ехе», так как в менеджере внирар обычно запускать исполняемый файл, а не открывать. Если еще раз не упакует в архив, то есть вероятность, что быдлохакер может с подозрением не запускать.
Сделал список путь к админке всех популярных CMS(Content management system):
• /administrator/
• /netcat/
• /wp-admin/
• /admin.php/
• /login.php/
• /admin/index.php/
• /index/admin.php/
• /admincp/index.php/
• /admin/
• /login/
• /apanel/
Все папки и файлы редирект на файл admin/admin.php и выводит на экран:
Любой логин и пароль всегда приводит к валидному входу. Сделал подставное сообщение, чтобы быдлохакер скачивал файл. Такой вид админки с сообщением:
По статистике (март-декабрь 2008 г.): в среднем по 3 в месяц кто-то заходил и скачал этот файл. После запуска ОС windows будет часто впадать в «эпилепсии», так как «DelDrv.exe» удалил системные файлы и шрифты для windows, даже скрытые файлы. После перезагрузки windows, будет выглядеть так:
Даже «восстановление системы» не поможет, потому «DelDrv.exe» тоже очистил до основания. Быдлохакеру придется только переустановить винду с нуля – это единственный выход. У кого-нибудь другая ОС стоит, тому повезло.
Наглядный пример работы моего скрипта:
Когда мой сайт перешел на HTML5 (всего 3 страниц и нет смысла пересесть на CMS), и убрал ловушку. Кажется, кто из пострадавших вырастает прекрасным программистом, либо работает в антивирусном секторе.
Вопрос: Кто-нибудь из сообществ Хабра такую ловушку сделал и что?
Один далекий мой знакомый веб-разработчик рассказал, что он сделал ложная админка, никогда и никто не сможет подобрать валидный пароль, даже брутфорс. Спросил: зачем? Ответ меня поразил: пусть время тратит на сизифов труду.
UPD. Спрашивают: почему не форматировать диск обычным методом FORMAT вместо этого гемморойного файла? Отвечаю банально, что у некоторых винт с одним логическим диском С — формат не производится.