bezpieczny Internet


Ochrona danych
..... Poradnik bezpiecznego korzystania z Internetu .....

Koń trojański

W informatyce mianem Konia Trojańskiego określa się program, który podstępnie robi więcej niż się spodziewa jego użytkownik. Nazwa tego szkodnika pochodzi od podstępu jaki zastosowali Grecy w czasie wojny trojańskiej. Udając, że odstępują od oblężenia, pozostawili wielkiego drewnianego konia, którego Trojanie sami wprowadzili do swojego miasta. Wewnątrz oczywiście byli ukryci żołnierze i takim podstępem przejęli miasto.

Dokładnie tak samo ma działać program lub skrypt, którego uruchomi na swoim komputerze nieświadomy użytkownik. Sam program zazwyczaj jest bardzo ciekawy, wykonuje przydatne funkcje i jest chętnie rozpowszechniany. Problem w tym, że oprócz oczekiwanego działania robi rzeczy, których się nikt nie spodziewa.

Najczęstsze funkcje jakie realizuje Koń Trojański (trojan horse) to:

  • Instalowanie backdoora, czyli furtki przy pomocy której w przyszłości będzie możliwe włamanie do komputera.
  • Zbieranie informacji z komputera ofiary o jego systemach zabezpieczeń, ścieżkach dostępu i hasłach
  • Blokowanie zabezpieczeń, dezaktywacja programów antywirusowych i powiadomień o stanie zagrożenia
  • Koń Trojański może być jednocześnie wirusem i niszczyć dane na komputerze lub szyfrować zawartość dysku.

Koń Trojański to fragment kodu dołączony do innego programu, zwykle długi czas nie zdradza swoich destrukcyjnych funkcji. Program do którego go wszyto jest zwykle wartościowy dla użytkownika i dlatego beztrosko z niego korzysta. Oprócz programów może się znajdować w skryptach powłoki, Perlu a niekiedy nawet w skryptach JavaScript i VBScript, tu jest jednak łatwy do wykrycia z powodu czytelności kodu.

Wykrycie Trojana jest bardzo trudne, często nie rozpoznaje ich program antywirusowy. Dopóki nie podejmie destrukcyjnych działań, użytkownik nic o nim nie będzie wiedział.

Zazwyczaj konie trojańskie działają jako aplikacja klient-serwer. Jedna część programu została zainstalowana na komputerze ofiary, a druga działa u hakera. Może on zdalnie wysyłać polecenia, a zaatakowany komputer będzie je wykonywał bez zgody właściciela. Proste Trojany mogą do komunikacji wykorzystywać Telnet.

W aplikacji klient - serwer stosowany jest standardowy protokół TCP/IP. Gdy na zainfekowanym komputerze zainstaluje się backdoor do klienta wysyłana jest wiadomość elektroniczna z danymi potrzebnymi do dostępu. Klient wysyła rozkazy, które trafiają pod podany adres i udostępniony port. Interfejs klienta jest bardzo rozbudowany, posiada wiele funkcji które zdalnie może uruchamiać haker. Dostęp do komputera ofiary zwykle zabezpieczony jest hasłem, tak aby nikt inny nie mógł z tej furtki korzystać.

Koń trojański może mieć funkcje przeszukiwania otwartych portów, tak się dzieje gdy hakerowi nie zależy na konkretnej osobie, tylko szuka dowolnego komputera w sieci.

Konie trojańskie są ciągle modyfikowane, tak aby nie rozpoznał ich program antywirusowy ani użytkownik. Niektóre mutacje to bardzo zaawansowane programy szpiegowskie. Większość działa na podobnych zasadach jak ich pierwowzór, dlatego przedstawimy tu kilka najpopularniejszych, aby poznać mechanizmy ich działania i sposobu usuwania.

T5Port 1.0

Ten niewielki program jest jednym z pierwszych w swojej kategorii, do zarządzania wykorzystuje Telnet. Posiada tylko kilka komend sterujących i jest niewykrywalny przez antywirusa. Charakterystyczne jest, że korzysta z portu 31337 i ma niezmienne hasło: satan Podstawowe możliwości programu to uruchomienie aplikacji na zdalnym komputerze, wydawanie komend systemowych, zawieszenie systemu, zamknięcie sesji lub reset serwera.

Usunięcie Trojana możliwe jest ręcznie, przez sprawdzenie skanerem co dzieje aktywności na porcie 31337, usunięcie odpowiedzialnych wpisów w rejestrze i skasowaniu pliku z katalogu systemowego.

BOWL 1.0

Program składa się z dwóch plików bowl.exe i config.exe, do komunikacji używa Telnetu. Łączenie polega na wpisaniu IP atakowanego komputera i wartości portu: 1981. Polecenia wydaje się komendami znanymi z MS DOS. Typowe funkcje to: generuje sygnał dźwiękowy, wyświetlenie zawartości plików, przemieszczenie między katalogami, czyszczenie ekranu, uruchamia w trybie MS DOS command.com-a, uruchomienie programu, usuwanie plików, zamknięcie sesji, podanie komunikatu błędu, zawieszenie systemu, pobieranie plików z komputera ofiary na przeglądarkę hakera, wyszukiwanie haseł i zmiana klawiszy myszki.

Usunięcie z systemu możliwe jest manualnie przez zmiany w podanym kluczu rejestru i skasowaniu pliku: C:\WINDOWS\netpopup.exe

ACID SHIVER

To bardzo rozbudowany program, który potrafi sam wygenerować Trojana na komputerze ofiary. Składa się z dwóch plików: ACiD Setup.exe i serwera (zwykle: AciDShivers.exe). Program konfiguracyjny tworzy serwer i serwer pocztowy SMTP. Aplikacja udostępniana jest z kodem źródłowym, dlatego powstają ciągle nowe wersje i jest rozwijany. Trojana można usunąć manualnie i jest rozpoznawany przez aktualizowane programy antywirusowe. Oprócz funkcji typowych dla konia trojańskiego, ACID SHIVER potrafi pobierać pliki z serwera, ukrywać w menadżerze aplikacje o podanym identyfikatorze, zbierać informacje u użytkowniku i jego komputerze.

BACK ORIFICE

Ten program to rozbudowane narzędzie do administrowania komputerem ofiary. Posiada konsolę tekstową i ładny interfejs do aplikacji klient-serwer.

Aplikacja uruchamia się pod systemem Windows 95 i 98. Serwer instaluje się w sposób niezauważalny w katalogu systemowym. Po konfiguracji rejestruje się jako jedna z usług w autostarcie. Następnie przydziela sobie port 31337 z którego nasłuchuje. Back Orifice może wykonywać następujące działania: uruchamia tekstowe aplikacje gotową do nasłuchu przez port i Telnet, zatrzymuje uruchomioną wcześniej aplikację, podaje listę aktywnych aplikacji, tworzy katalog na serwerze, wyświetla listy katalogów, kasuje pliki i katalogi, wyszukuje pliki, loguje sekwencję wciskanych przez ofiarę klawiszy, uzyskuje dostęp do komputera przez przeglądarkę, odłącza i przyłącza serwer ofiary od sieci, przekierowuje połączenia TCP/IP, tworzy i usuwa klucze w rejestrze, łączy serwer ze wskazanym IP i zapisuje do pliku ściągnięte dane.

Back Orifice jest rozpoznawany i usuwany przez większość programów antywirusowych.

DEEP THROAT REMOTE 1.0

Troja działa na komputerach z Windows 95 i 98, składa się z dwóch plików: serwera systempatch.exe i klienta RemoteControl.exe . Serwer może wykonywać następujące funkcje: Otwieranie i zamykanie CD-ROM, otwieranie okienek dialogowych, ukrywanie paska startowego Windows, ściągnięcie dowolnego przez FTP, np. Cute FTP lub WS_FTP. Uruchamianie programów na serwerze, resety serwera oraz zbieranie danych od ofiary.

MASTER'S PARADISE

Serwer może być ukryty w dowolnej aplikacji. Zazwyczaj w grach działających na Windows 95 i 98. Funkcje Trojana to: Podsłuchiwanie ofiary, podglądanie wprowadzanych znaków, nagrywanie dźwięku przez mikrofon. Przesyłanie wybranych plików na serwer i wiele innych. Trojan jest rozpoznawany przez programy antywirusowe.