Um programador alemão chamado Dan Lehman lançou um
cavalo de tróia para Windows 95-98 chamado "Master's
Paradise". O Master's Paradise consiste em um client
chamado Master's Paradise o qual roda em um computador
remoto para ganhar acessp à qualquer computador
conectado à uma rede TCP/IP ou a Internet. É requerido
que um server executável seja instalado no computador da
vítima, para permitir o acesso remoto ao computador da
vítima de maneira similar ao "Back Orifice" da CdC. Como
no caso do "Back Orifice", esse programa explora as
vulnerabilidades da segurança da plataforma Windows
95-98 e não funciona em Windows NT. Os modos de
transferência do server incluem transferência através de
IRC e chat rooms da AOL, arquivos atachados em e-mail,
exploração de buracos na segurança de Browsers e
pragramas de e-mail e instalação física na máquina.
O server para o Master's Paradise foi embutido com um
programa legítimo. Nós primeiramente encontramos com um
arquivo chamado GAME.EXE o qual continha o popularmente
usado jogo parodiado chamado "Pie Bill Gates". Nessa
configuração, o server foi instalado como SYSEDIT.EXE
junto com um DLL chamado KeyHook.DLL, o qual foi
modificado da forma original, que existe em muitos
programas shareware. Na distribuição do GAME.EXE que nós
recebemos, foi provido um auto-instalador executável
embutido numa cópia sem licença do "TurboSFX file
extractor".
Outras vítimas desse trojan o receberam em arquivos
chamados "PICS.EXE" que diz conter figuras. Nesse caso,
o programa aparentemente não é executados por inteiro,
mas ele instala o server nas vítimas. Experimentos com o
cliente provou diversos error. Entretanto o server em si
foi feito para ser compativel com outros clientes de
outros trojans. Enquanto o server tem um design
diferente do Back Orifice, o comportamento é similar. O
server é similar, mas não igual ao server usado no Netbus.
Capacidades do Masters Paradise:
**Abrir/fechar o drive de CD-ROM
**Mostrar uma imagem selecionada, que pode ter o formato
BMP e JPG
**Inverter os botões esquerdo/direito do mouse
**Iniciar um aplicativo
**Tocar um som de extensão WAV
**Controlar o cursor da vítima
**Mandar uma mensagem para a tela do computador da vítima
**Desligar o computador, reiniciar, logoff...
**Ir à uma URL especificada pelo browser padrão
**Mandar comandos para os aplicativos abertos no
computador da vítima
**Logar tudo que a vítima digita e enviar para o
computador server
**Capturar a tela da vítima (mais ou menos como um Print
Scrn à distância)
**Colher informações sobre o computador alvo
**Fazer o upload/download/exclusão de arquivos
**Aumentar, diminuir o volume do som
**Gravar sons com o microfone (se há microfone) do
computador da vítima
**Fazer sons de "Click" toda vez que uma tecla é pressionada
**Teclas do teclado podem ser desativadas.
**Mostrar, fechar e tornar ativa uma janela do Windows.
Como tira o server ?
O server pode ser removido manualmente se ele estiver na
sua forma original como SYSEDIT.EXE. No Windows 95 e 98,
o server substitui o SYSEDIT, que nada mais é que um
software Microsoft que permite editar arquivos de sistema.
Como o nome do server pode ser qualquer um, o registro
do windows (pra quem não lembra, dá pra você editar os
registros executando o arquivo REGEDIT.EXE) deve ser
examinado para determinar o nome do server.
O arquivo KeyHook.DLL também é colocado no diretório
\WINDOWS ou \WINDOWS\SYSTEM\ que pode substituir
qualquer cópia deste arquivos que tenha sido instalado
legitimamente por um shareware. Como o trojan substitui
os arquivos legítimos, você pode precisar recuperá-los.
O próprio SYSEDIT.EXE pode ser recuperado com o cd do
Windows e o KeyHook.DLL com a cópia original do
shareware que o colocou lá. O server instalará uma
subchave de registro na chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nessa chave você vai encontrar a subchave com o nome e o
local do server. Delete essa subchave, pois senão, não é
possível deletar os arquivos citados mais acima. Depois
de deletar a subchave, reboot seu computador e delete os
arquivos do server.