</FONT></DIV></BODY></HTML>

------=_NextPart_000_025C_01C8A749.C39D0D40--

Находим строку (выделена желтым цветом):

<A=20href=3D"http://nezumi.org.ru/souriz/temp/love.gif">

http://nezumi.org.ru/souriz/temp/love.gif</A>

и переписываем ее следующим образом:

<IMG SRC=3D"http://nezumi.org.ru/souriz/temp/love.gif"/>

Некоторые хакеры выставляют размеры картинки в 0x0 пикселей, чтобы она не была видна, но это не есть хорошо и слишком подозрительно. Лучше вставить обычную картинку, например, свой логотип или что-то еще.

Естественно, вместо адреса http://nezumi.org.ru вы должны указать что-то свое, воздвигнув собственный веб-сервер (рекомендую бесплатный SMALL HTTP – smallsrv.com) с доменным именем, которое можно зарегистрировать, даже имея в своем распоряжении всего лишь динамический IP с хлипким каналом (большая пропускная способность нам не понадобится, мы же не спамом занимаемся).

Открываем модифицированный файл в Outlook Express (для этого достаточно дважды щелкнуть по нему мышкой в Проводнике) и отправляем его адресату. Смотрим на консоль нашего веб-сервера, отображающую текущие запросы (или пытаем лог).

Поскольку в данном случае мы отсылаем файл самому себе, то в момент просмотра полученного письма в логе сервера тут же появляется новая запись с нашим IP-адресом и прочими параметрами. Кстати, обратите внимание, что почтовые службы mail.ru и gmail.com не осуществляют проверку внешних картинок ни при отправке, ни при приеме письма. А еще говорят, что они защищают нас от спама! Выходит, что вся защита сводится к ведению black-листов IP-адресов (ну и, может быть, фильтрации текстового содержимого).

Если же картинка загружается с внешнего ресурса, спамерам достаточно менять IP-адреса (для чего идеально подходит boot-net, то есть подконтрольная хакеру сеть машин с внедренным back-door) и спам свободно пройдет сквозь фильтры, правда, нагрузка на наш веб-сервер существенно возрастет, но исходящий трафик обычно либо очень дешев или вообще бесплатен, а объем входящих GET-запросов не так уж и велик.

Ладно, а как осуществить то же самое при помощи The Bat? В меню «Tools» выбираем «Import messages -> From .MSG/.EML-flies», и наше письмо появляется в папке входящих, откуда мы копируем его в исходящие и говорим «Send Queued Mail».

Как и в предыдущем случае, смотрим в лог веб-сервера и делаем соответствующие выводы.

Практический пример атаки

Рассмотрим конкретный пример использования жучков для реконструкции топологии сети и получения прочих «интимных» данных. Это, конечно, не атака, а только ее начальная фаза. Ничего нелегального мы совершать не собираемся. Все абсолютно законно.

Кстати, аналогичная техника используется корпорацией Intel в ее почтовой рассылке – все картинки там представлены в виде ссылок на внешний HTTP-сервер. Возможно, это сделано с целью уменьшения объема рассылаемых писем, возможно, для слежения за подписчиками. Кто знает? Но никто же не пытается засудить Intel, поскольку никакого состава преступления в ее действиях нет. Вот так же и с нами.