ЛАМЕРАМ ПОСВЯЩАЕТСЯ
Данная информация является лишь попыткой донести до читателя основы и не претендует на то, чтобы быть руководством к действию.
Если у вас есть вопросы, буду рад связаться с вами по ICQ : 208745
Немного из личного опыта. Летом того года меня заинтересовала информация из журнала 2600 о проведенной, если не ошибаюсь, в Калифорнии конференции хакеров, а частности о представленной там "Культом Мертвой Коровы" (Cult of the Dead Cow Communications) клиент-сервер апликации Back Orifice, или так называемой BO.
Найдя файл и инсталлировав у себя на одном из тест-серверов, а также изменив пассворд доступа, я был приятно удивлен способностями этой ничего не "весящей" (122 kb) серверной части.
Интересно, подумалось мне, а есть ли что нибудь еще? И занялся поисками. Поиски мои то заходили в тупик, то давали великолепные результаты и в конце концов я бы оставил их за отсутствием времени, если бы не мой доступ на раутеры своей компании и ее клиентов. Что же я там нашел: то, что BO и NetBus становяться очень популярными в среде "пользователей интернета" (студентов, псевдохакоров, бездельников сети и всяческого около-"криминального" элемента, не уничтоженного как класс в период Великой Социалистической Революции).
Попытки сканов моего LAN на предмет выявления зараженного BO или NetBus-ом (you name it) компьютера начали уже просто мозолить глаза и генерировать отдельные сотни килобайт лога.
К октябрю-ноябрю того года, имея доступ к компьютерам численностью более 4.000, я решил просканить все их конкретнее на предмет известных мне троянов (к тому времени обладал инфо о 34 их видах, плюс порядка 20 разновидностей). Результаты скана порадовали: 5 процентов пользователей были заражены. Учитывая возможности троянов, я решил предупредить своих знакомых и админов сетей клиентов, собрав некоторую информацию и опубликовав у себя в "базе знаний" компании, а также на своем вебсервере, вебмастером которого я и являюсь (wwwrusskie.com). Сейчас же я хотел предоставить ее и вам, уважаемые мои читатели-он-лайнщики.
Итак на 21 января 99 года
Перечень имен троянов, известных мне (37 названий, без указания версий и дополений)
Acid Shivers
Antigen
Back End
Back Orifice
Back Door
DeepThroat
Devil
Dmsetup
EvilFTP
Executer 1
Executer 2
Fore 1.0b
FTP99cmp
GateCrasher
GirlFriend
Hacker's Paradise
ICKiLLEr
ICQ Troqen
Invisible FTP
Master's Paradise
Millenium
NetBus
Net Monitor
phAse zero
Phineas Phucker
PSS
Remote Grab
Ripper Pro
Remote windows shutdown)
Shtirlitz
Sivka-Burka
Sstrojg ( Senna Spy Trojan Back Door Generator )
Sockets de Troje
StealthSpy Beta
Telecommando
Voice
Win Crash
Список портов, используемых ими по умолчанию (44 основных порта)
Некоторые трояны используют порт 21, 23, 80, 25 и так далее -- порты, которые заняты легальными сервисами: вебсервером, мейлом, телнетом, фтп и так далее. Данные о этих троянах в этом листе не указаны. Многие трояны имеют возможность переадресации сервера на работу с другим портом. Некоторые трояны слушают клиент в большом диапозоне портов допустим с 1000 до 6000. Они тут не указаны. Словом -- удачи:)
11000
1170
12345
12346
1492
1600
1999
20001
20034
2023
2140
21544
23456
2801
3024
31337
31338
3150
40421
40422
40423
40426
4092
456
4950
5000
5001
50766
53001
555
5714
5741
5742
61466
65000
6969
6970
7000
7300
7301
7306
7307
7308
7789
Перечень имен файлов клиентов и серверов для поиска на локальных машинах (107 имен файлов)
Данные даны в форме: filename, (размер файла). Если имя файла встречается несколько раз подряд, а размер разный, это говорит о том, что это информация об одном и том же трояне, но различных его версиях, а следовательно и дополнительных функциях. Данные даны по клиентам и серверам. Данные отдельно по серверам публиковаться не будут, так как при наличии клиента без сервера -- становится ясно, что машина потенциально заражена или используется в целях заражения - что в принципе все едино, и пистон вставить надо в любом случае тому, у кого гадость на ящике:)
ACiDShivers.exe (186368)
Agent.exe (293376)
Agent.exe (325632)
Agent.exe (327680)
antigen.exe (19456)
backdoor.exe (233472)
backdoor.exe (241664)
backdoor.exe (294912)
backdoor.exe (344064)
backend.exe (102912)
boclient.exe (57856)
boclient.exe (707072)
bogui.exe (284160)
boserve.exe (124928)
bug.exe (57344)
cfg95.exe (79242)
client.exe (164352)
Client.exe (180224)
client.exe (202240)
client.exe (334848)
client.exe (471552)
client.exe (54272)
Controller.exe (313856)
Controller.exe (340992)
control.exe (499200)
DeepBo.exe (530432)
Devil13.exe (95232)
dmsetup.exe (40188)
Exec.exe (231424)
Exec.exe (249344)
faxmgr.exe (27648)
FixIT.exe (23087)
foreclient.exe (482304)
foresvr.exe (309248)
FTP99cmp.exe (369185)
ftpexe (402944)
gc.exe (221184)
GF.exe (425984)
GF.exe (454656)
gserver.exe (126976)
hs.exe (267264)
ICKiLLeR.exe (534016)
icqclient.exe (31744)
icqcrk.exe (50688)
ICQFlood.exe (24576)
ICQFuckerExtentitions.exe (182272)
icqnuke.exe (10240)
icqtrogen.exe (39424)
inet.drv (36864)
inet.hlp (98304)
KeyHook.dll (54272)
lame.exe (335872)
MSTConfig.exe (378880)
mustget.exe (527360)
NBSvr.exe (612864)
NetBus.exe (1114112)
NetBus.exe (494592)
NetBus.exe (567296)
NetBus.exe (599552)
NetMonitor.exe (205824)
netspy.exe (141312)
Paradise.exe (1096704)
Paradise.exe (1310208)
Paradise.exe (855552)
Paradise.exe (888320)
Paradise.exe (916480)
Paradise.exe (924672)
Patch.exe (494592)
Path.exe (472576)
phase.exe (301568)
Phineas.com (93250)
Phucker.exe (352768)
port.dat (94208)
port.doc (39424)
port.exe (40960)
procmom.exe (14848)
PSS-Client.exe (80384)
readme.exe (102400)
readme.exe (73728)
readme.exe (77824)
readme.exe (98304)
RemoteControl.exe (505344)
rgrab.exe (258048)
RipClient.exe (305664)
RipServer.exe (211968)
RmtEwxC.exe (268800)
server.exe (210432)
Server.exe (211456)
server.exe (296448)
server.exe (533013)
Setup.exe (14336)
sockets23.exe (1082880)
spyserver.exe (30720)
spy.exe (48128)
SysEdit.exe (473088)
SystemPatch.exe (491008)
TeLeCoMMaNDo.exe (327276)
telman.exe (137216)
telserv.exe (235520)
tserv.dll (82432)
uagent.exe (282624)
wave.dll (27648)
Wave.exe (38400)
win32cfg.exe (4128)
wincrash.exe (309248)
windll.exe (331264)
windll.exe (344064)
Неотсортированный список возможностей нескольких (6-7) троянских коней (406 функций)
Lists most of the commands (description of command)
Hide a task from control + alt + delete
Show a hidden task in control + alt + delete
List Contents of Current Directory
Change To Specified Directory/Drive
Clear Screen
Kill Process by PID (Shown in PS)
Shows Running Processes
Deletes Specified Files
Change Port Acid Shiver Listens on (Until Next Reboot)
Change to default Windows Desktop folder
Change to Windows Recent folder
Change to default WS_FTP folder
Show Version Number of Acid Shiver
Show physical, RAM, CD-ROM, and Network drives
Relay connection to host on port, Control + C to abort
Sendkeys to active window
Show ethernet stats and physical address
Rename the users computer
Shows DOS Environment variables
Beeps the specified number of times
Type 'CDROM' for more informationv - Terminate Acid Shiver
Rename a specified disk drive
Type 'Shutdown' for more information
Retrives information on specified drive
Disconnect a session by socket index show in 'STATUS'
Shows users current system time
Shows users current system date
Shows some general system information about host and user
Show the state of all sockets used since last reboot
Retrieve specified file
Retrieve specified file in hex form
Run the specified shell command
Run the specified command and display results (may lock up)
Make a new directory
Remove a directory and all files and subdirectories inside
Сopy file1 to file2
Spawn a text based application on a tcp port.
Stops an application from listening for connections.
Lists the applications currently listening for connections.
Creates a directory.
Lists files and directory. You must specify a wildcard if you want more than one file to be listed.
Removes a directory.
Creates an export on the server.
Deletes an export.
Lists current shared resourses (name, drive, access, password).
Copys a file.
Deletes a file.
Searches a directory tree for files that match a wildcard specification.
Compresses a file.
Decompresses a file.
Views the contents of a text file.
Disables the http server.
Enables the http server.
Logs keystrokes on the server machine to a text file.
Ends keyboard logging. To end keyboard logging from the text client, use 'keylog stop'.
Captures video and audio (if available) from a video input device to an avi file.
Captures a frame of video from a video input device to a bitmap file.
Captures an image of the server machine's screen to a bitmap file.
Lists video input devices.
Plays a wav file on the server machine.
Lists current incomming and outgoing network connections.
Disconnects the server machine from a network resource.
Connects the server machine to a network resource.
Views all network interfaces, domains, servers, and exports visable from the server machine.
Pings the host machine. Returns the machine name and the BO version number.
Executes a Back Orifice plugin.
Tells a specific plugin to shut down.
Lists active plugins or the return value of a plugin that has exited.
Terminates a process.
Lists running processes.
Runs a program. Otherwise it will be executed hidden or detached.
Redirects incomming tcp connections or udp packets to another ip address.
Stops a port redirection.
Lists active port redirections.
Creates a key in the registry.
Deletes a key from the registy.
Deletes a value from the registy.
Lists the sub keys of a registry key.
Lists the values of a registry key.
Sets a value for a registry key.
Resolves the ip address of a machine name relative to the server machine.
Creates a dialog box on the server machine with the supplied text and an 'ok' button.
Displays system information for the server machine.
Locks up the server machine.
Displays cached passwords for the current user and the screen saver password.
Shuts down the server machine and reboots it.
Connects the server machine and saves any data recieved from that connection to the specified file.
Connects the server machine and sends the contents of the specified file, then disconnects.
Ejecting And Closing The CD-ROM Drive.
Sends a Msg Box To The Host.
Hide\Show Startbar.
Starts a FTP Server (On Port 21).
Captures the screen to a Jpeg around 80 Kb and sends it to you.
Sends Host to A Url Of Your Choice.
Turn Monitor On/Off.
Spawn Prog.
Spawns a program invisibly.
Reboot
Scan for Hosts with DT server running.
Sends a packet to see in host is Running the Server.
Host System info.
Open/Close CDROM
Send "Beep" Signal
Send text to Notepad
Send Message "Yche! Yche!" with interval
Send Applications Bomb
Notepad Flooder
Reboot
Windows Clean Up
ICQ Killer
Full FTP access
Destroy Mouse Double Click
Change All System Colors To Yellow
Hang Up All Connections
Disable CTRL+ALT+DEL Keys
Set Cursor Position To 0,0
Hide Windows TaskBar
Reboot Computer
Enable Jumping Mouse
Enable Mouse Double Click
Enable CTRL+ALT+DEL Keys
Show Windows TaskBar
Disable Jumping Mouse
Copy EXECUTER To C:\Windows\ Directory
Add EXECUTER To Windows StartUp
Show Message-'Hello'
Show Message-'Hello bitch!!!!!!!!!!!!!!'
Show Message-'Do u ready to fuck your system??????!!!'
Show Message-'ShutUp bitch!!!!!!!!!!'
Show Message-'Get ready to start!!!!!!'
Show Message-'Thats All bitch!!!!!!!!!'
Delete C:\Logo.sys
Delete C:\Windows\Win.com
Delete C:\IO.sys
Delete C:\Windows\System.ini
Delete C:\Windows\Win.ini
Delete C:\Config.sys
Delete C:\Autoexec.bat
Enable Paiting On The Screen('DIE!!! DIE!!! DIE!!!')
Disable Paiting On The Screen('DIE!!! DIE!!! DIE!!!')
Enable Creating Of Many Forms With Caption('DIE!!! DIE!!! DIE!!!')
Disable Creating Of Many Forms With Caption('DIE!!! DIE!!! DIE!!!')
Execute File
Change Desktop Colors
Send Message
Hide/Show Taskbar
Open/Close CDROM
Mouse Double Click On/Off
Get Windows, System & Application Directory
Terminate Server
Reboot Computer
"No Access" for server
Self Removing Server
List Dialup parameters (phone, passwords...)
List ICQ UIN
Process List
Start FTP Server
Hides the victims TaskBar
Shows the victims taskBar
Starts an Program on the victims computer, program doesn't have to be an .EXE, it will start and file with it's default program too.
Opens the victims default Web Browser at the URL you specify
Opens the victims Control Panel
Opens the victims Date/Time Options
Opens the victims Appearence Options
Starts the victims Screen Saver
Closes the Server on the victims machine
Deletes a file you specify, from the victims machine
Reboots the victims computer
Deletes a WHOLE directory from the victims computer
Clears the victims recent folder (The Documents folder on the START menu)
Ends the current windows session
Forces a shutdown !
Loggs the victim off his/her current windows session
Reads from the victims floppy drive
Sends a ping to the Server
Sends a Message to the victim
Returns the victims WINDOWS directory
Returns the victims TEMP Directory
Returns the path that the server is installed on
Returns the victims Hard Disk Letter
Returns the victims LOCAL TIME
Returns the victims OPEN WINDOWS
Maximises a window on the victims computer that you specify
Sets the victims Computer Name
Makes the victims Mouse "CRAZY" and uncontolable
Returns the victims Mouse to normal
Returns the vitims ICQ#
Lists all the files and any directory
Formats and drive on the victims Computer
Closes any window on the vitims Computer
Serches for a File, or a Pattern, on the vistims Computer
Sets the name of Drive C:
Sets the victims Computer Name
Sends text to and active input box on the victims computer
Creats a file on the victims Computer that fills up the entire drive
Returns the Registered User of that Computer
Returns the Registered Organization of that Computer
Returns the amount of free space on any drive
Returns the Operating System of the victims Computer
Returns the Serial Number of any Disk
Opens an FTP Server on the victims computer, gives you; List, Read Write, Delete, Make Dir, Delete Dir and Execute
information as text, that "infected" user enters to any window containing password field.
information aspasswords, which "infected" user enters to password fields.
send "system" messages to remote PC.
play sounds.
show bitmaps (.bmp pictures).
run exe files.
send "victim" to any URL.
change server's port.
hide GF Client with BOSSKEY=F12.
scan subnet for infected servers.
save windows list.
work with files and folders using GF filemanager.
Shutdown Remote Computer
Restart Remote Computer
Log-Off Remote Computer
Restart Remote Computer in MS-DOS
Close Remote Computer Spy
Remove Remote Computer Spy
Open Remote Computer CD-ROM
Close Remote Computer CD-ROM
Disconnect Remote Computer
Disable Ctrl+Alt+Del On Remote Computer
Enable Ctrl+Alt+Del On Remote Computer
Hide Remote Computer Taskbar
Show Remote Computer Taskbar
Turn Caps Lock On On Remote Computer
Turn Caps Lock Off On Remote Computer
Turn Num Lock On On Remote Computer
Turn Num Lock Off On Remote Computer
Change Remote Computer Computer Name
Change Remote Computer Recycling Bin Name
Swap Remote Computer Mouse Buttons
Unswap Remote Computer Mouse Buttons
Set Remote Computer Cursor Position
Show Remote Computer Cursor
Hide Remote Computer Cursor
Get Mouse Double Click Speed Of Remote Computer
Set Mouse Double Click Speed Of Remote Computer
Get Remote Computer Windows Mode
Get Remote Computer Amount Of Mouse Buttons
Get Remote Computer Windows Run Time
Get Remote Computer Free Space On C:\
Get Current User Logged In On Remote Computer
Get Serial Number Of Drive C:\ On Remote Computer
Get Remote Computer Temp Directory
Get Remote Computer Windows Directory
Get Remote Computer Windows System Directory
Get Resolution Of Remote Computer
Set Resolution Of Remote Computer
Start Remote Computer Default Screen Saver
Set Remote Computer Start Menu Pop-up Speed
Add A Line To Remote Computer Autoexec.bat File
Get Percent Of Memory Used On Remote Computer
Get Number Of Bytes In Physical Memory Of Remote Computer
Get Available Bytes Of Physical Memory On Remote Computer
Get Total Memory Amount In Page File On Remote Computer
Get Available Memory Amount In Page File On Remote Computer
Get Total Amount Of Virtual Memory On Remote Computer
Get Available Amount Of Virtual Memory On Remote Computer
Pop-up Remote Computer Message
Delete Files
Copy Remote Computer Files
Rename Remote Computer Files
Create Remote Computer Files
Close Remote Computers Programs
Get List Of Running Remote Computer Programs
Set Spy Password On Remote Computer
Server Admin (set password, close server, restrict access)
Host Info (system info, cached passwords)
Message Manager
File Manager (create/delete folder, upload/download/delete file)
Window Manager
Registry Manager
Sound System Balance
Plugin Manager
Port Redirect
Application Redirect
File Actions (execute file, play sound, show image, open document, print document)
Spy Functions (keyboard listen, capture screen image, capture camera video, record sound)
Exit Windows (logoff, poweroff, reboot, shutdown)
Client chat
Open/Close CDROM
Keyboard (disable keys, key click, restore keys)
Mouse (swap buttons, resore buttons)
Go To URL
Send Text
Send message
Shutdown remote computer
Download files
Upload files
Delete files
Execute files
Create folders
Screeb capture
View process list
Kill process
tell the server to upload the specified local file via ftp to remote path
tell the server to download the specified remote file via ftp to local path
execute a file (show window, hide window)
change directory
list directory
create directory
remove directory
show current dir
copy file
move file
rename file
delete file
type the specified text file
shows an hexadecimal dump of the specified binary or text file
shows the specified message into a dialog box on the server
locks up the server
trashes the server and locks it up
create the specified registry key
deletes the specified registry key
deletes the specified registry value
determines if a key or a name exists
sets the currently open registry key
read the specified key's value
creates or updates the specified key and associated value
lists available keys in the currently open key
lists available values in the currently open key
terminates the current session only
terminates all connections and unloads the server
Log all of the Dial-Up Networking accounts on a remote computer
Capturing full-size screen
Kill any programm (window)
View help screen
Shutdown remote machine
Reboot remote machine
Logoff remote machine
Hide active window
Destroy active window
Kill window with matching title
List files in current directory
Change directory to [dir]
Execute DOS command
Launch application
Send message
Chat with remote
Enter notification mode
Sends some information - process list and more
Exits server
Disconnects you from server
Remove server from remote computer memory
Destroy the server autostart
Take rights on server
Change & delete password
Send dialog box with OK button
Send dialog box with Yes/No buttons
Change folder
Make new folder
Remove folder
Delete files
List Files
Get current directory
Get logical drives
Lock/Unlock desktop
Make a puzzle with remote desktop
Stars On/Off on remote desktop
Hide/Show Start button
Hide/Show Taskbar
Hide/Show Desktop
Execute application (Normal/Minimized/Maximized/Hidden Status)
List/Kill 32 bit process
LogOff user
Reboot system
Shutdown system
Get user name
Get computer name
Get date & time
Keyboard Lights Bomb
Lock/Unlock Mouse
Move Mouse
Monitor On/Off
Flip Screen
Open/Close CD-ROM Drive
Flood Server Printer
System Keys ON/OFF
Clipboard Lock
Screen Saver Bomb
Hide/Show Taskbar
Hide/Show Start Button
Disable/Enable Start Button
Active the Screen Saver
Remove Desktop Wallpaper
Change Desktop Wallpaper
Modify Remote Date
Close Server EXE
Delete Server EXE
Lock Up the System
Close all Programs
Exit Windows
Shutdown Windows
MSG Box [Chat]
Send Text
Get Server Information
View Remote Passwords
View Remote Netstat
View Active Process
Open Server Hard Disk
Play Wav Files
Delete and Execute Files
Modify Remote Autoexec.bat
Также хотел привести некоторые мои наблюдения:
Работа антивирусников (очень поверхностно, буду признателен за любые дополнения).
1. Norton Antivirus при проверке моего диска, на котором находится архив имеющихся в моем распоряжении троянцев (80 mb), пищит и скринит на BO, NETBUS, Millenium и что то еще.
2. McAfee как-то вяло реагировало на BO, кричало, било себя лицом об экран, но удалить не смогло или поленилось (y меня 3.x мотор от McAfee и я, если честно, мало им пользуюсь, не нравится он мне внешне:) Несимпатичный какой то антивирус ).
Что касается обнаружения на nework у себя в конторе -- NetBus имеет встроенный, замечательный сканер, он сам вам все скажет. Для всех других я настроил сканнер, сохранил адреса портов, и оно себе бегает и бегает, когда надо кричит, бьет посуду и требует внимания к собственной персоне.
Почему собственно все BO да NetBus -- опять же из моего личного опыта - из тысяч и тысяч попыток обнаружить у меня в сетях зараженный компьютер, добрые процентов 70 были направлены на поиск BO и NetBus. (Bo - windows 95, NetBus - 95/NT)
Теперь об известных мне способах получения троянцев вне своего желания:)
1. Любой self-extract архив типа zip, rar и так далее. Сначала ставит троян, потом себя куда прикажете
2. Файлы для MS Word97 можете позвонить троянцу прямо с страницы. ( macros )
3. Понятное дело, любой download с веба, будь то гороскоп или открытка для мамы-папы, или от мамы-папы.
4. Про ActiveX плугины и технологии я просто умолчу из страха потревожить эту тему.
5. Понятное дело, всяческие приколки в виде рождественских бегающих по экрану елок с встроенным трояно-довеском, всевозможые емейлы от незнакомых но любящих вас людей. Диски с беспатными скрин-серверами бесплатно раздаваемые в downtown Washington, DC ... (когда следующий день задали вопрос распространителю, он бросил все эти диски и убежал, только пятки сверкали)
Как провериться?
1. Неплохо бы регулярно посмотривать, что у вас бегает на запуске NT или windows. Смотреть реестр, autoexec и startup. Если есть какой-то неизвестный Elki_palki.exe, и он там прописан - посмотрите внимательнее и разберитесь с проблеммой.
2. Не советую ставить неизвестный софт с веба на серверах и особенно с админовскими правами (NT)
3. Не забывайте про свой таск бар -- что там творится? что это за Elki_palki.exe? Для этого существует масса утилит, к примеру Microsoft Process Viewer Application, это приложение к VC++. Очень замечательная програмка. И покажет и накажет!
4. В NT посматривайте за реестром, для этого есть к примеру Regmon for Windows NT/9x. Найти ее можно на http://www.sysinternals.com.
5. Смотрите за инсталляцией software, имейте лог полного инстала - там будет написано, что перед тем как создать директорию c:\Doom сначала был скопираван файл C:\Windows\system\patch.exe /nomsg и в регистрах была произведена запись о бракосочетании. Существует большое количество софта, помогающего вам просмотреть лог, например, "InCtrl 3" ("InCtrl 3 lets you track system changes made by Windows 95 and Windows NT installation programs....")
6. Иногда полезно посканить свой собственный компьютер на предмет чем слушаем, чем воду пьем, я имею в виду открытые порты.
Как бороться?
Существуют многие и многие виды автоматических удовлетворителей пользователей путем выуживания подлого врага с их компьютеров и публичного сжигания кнопкой YES в боксе "Сжигать будем?". Я не то что бы не верю им, или думаю, что они-то и являются главным источником заразы, нет. Просто ну не люблю я, когда откуда-то берется "Вася Пупкин и Co" с трояндетектором. Также я не люблю, когда McAfee шлет мне длинные письма, с восторгом рассказывая, что у них обнаружено новое противоядие от только что ими изобретенного вируса. Словом -- полагайтесь на свою голову и не ленитесь. Смотрите, что ставите, куда ставите, откуда берете, и что оно и где пишет, как много есть ресурсов. И не будьте наивны, когда ваш сиди перестает играть, появляются msg на экране с воплями MUST DIE, и компьютер начинает очень тормозить! Найдите тому причину...
Очень важно при наличии какого-либо серьезного признака присутствия инородного вмешательства оборвать свой телефонный провод (волокно, нетворк cable). И, перейдя на другую машину, а может и пользуясь ранее сохраненной на диске информацией, найти причину и устранить ее. Одним словом говоря -- лист имен файлов, предоставленный мной, поможет найти подлеца, а при наличии записи о нем в Регистрах в разделе RUN* наведет вас на очень конкретные мысли, надеюсь.
Как велика возможность того, что меня будут сканить, и грозит ли мне это чем-либо?
Ничем это вам не грозит, если вы не поражены "недугом". Это как смотреть в пустой кошелек: кушать хочется, а денег нету. Другое дело - деньги положить туда можно (см. "о способах получения"), и тогда давайте все покушаем. Тем не менее, если вы часто онлайн и в публичных местах наподобие IRC, поставьте себе какой-либо порт смотритель. Внесите туда порты -- и в какой-то прекрасный день вы сможете увидеть IP адрес "злостного хакера"
Группы риска:
1.IRC пользователи.
2.ICQ пользователи.
3.Получатели емейлов от незнакомых людей.
4.Пользователи неизвестного софта с неизвестных вебсайтов, выполняющего неизвестные вещи с неизвестной целью.
5.Пользователи больших сетей, по принципу -- не вы, так ваш сосед.
6.Коллекционеры чего угодно -- гифов, картинок, порнографии -- если вы сняли какой-либо самораскрывающийся архив с предметами вашей страсти, будте готовы, что кто то получил ваш айпи и спешит к вам утешить свои страсти.
На этом, пожалуй, все...
Желаю вам всего самого лучшего.