Konie trojańskie

KOŃ TROJAŃSKI - OPROGRAMOWANIE SZPIEGUJĄCE

Przedstawiam opisy 20 najpospolitszych koni trojańskich (wraz z różnymi ich wersjami) na które natknąć może się użytkownik. Autor zdaje sobie sprawę z tego, iż nie są to wszystkie backdoory, jakie się pojawiły w sieciach komputerowych, jednakże opisane zostały te z nich, które są najpopularniejsze. Programy zostały podzielone na dwie kategorie: Ą Aplikacje nie mające GUI, a więc takie, których klientem jest program Telnet Ą Aplikacje z własnym GUI, składające się z dwóch części: instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym na komputerze włamywacza.

APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ TELNET:
1. T5Port 1.0 Mały (18 432B) koń trojański, autorem którego jest bliżej nie znany osobnik o nicku (icta). Najprostszy z trojanów w swojej kategorii, jeden z pierwszych. Nie ma żadnego programu instalacyjnego czy też konfiguracyjnego. Zajmuje port 31337 na komputerze ofiary. Połączenie odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet przez wybieranie w menu Połącz opcję System Zdalny i wpisaniu w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 31337. Po nawiązaniu łączności wpisujemy domyślne hasło, którego zmienić nie można. Jest nim kojarzące się jednoznacznie słowo "satan". Uruchomiony na komputerze ofiary aktywny jest tylko przez czas trwania sesji Windows. Aby się w nim zagnieździć, potrzebny jest ręczny wpis do Rejestru Systemowego. Oznacza to, iż łatwo go dezaktywować, ale znacznie trudniej wykryć w systemie (włamywacz może nadać mu taką nazwę, jaka tylko mu przyjdzie na myśl). Jest on niezbyt rozbudowany, o czym świadczą komendy podobne do tych, które znamy z systemu MS-DOS: Ř exec ... - uruchamia aplikację na komputerze ofiary cmd ... - uruchamia komendę systemową annoy - wyświetla komunikat o błędzie shutdown - resetuje komputer ofiary exit - zamyka sesję die - "zabicie" sesji serwera (usunięcie go z pamięci) help - wyświetlenie pomocy USUNIĘCIE Z SYSTEMU: T5Port nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie: Ą Sprawdź za pomocą skanera portów, czy jest otwarty port 31337 (uwaga: ten port jest również używany przez Back Orifice'a). Jeśli jest, wówczas musisz sprawdzić, jakie są uruchomione procesy w obecnej sesji Windows (opisane wyżej w dziale USUWANIE RĘCZNE). Ustal, jak nazywa się potencjalny trojan (nie jest możliwe dokładne ustalenie nazwy - każdy z uruchomionych programów może być backdoorem). Jeśli znasz już nazwę pliku, to poszukaj go na twoich dyskach lokalnych i porównaj z podanym wyżej rozmiarem. Jeśli będzie pasował - masz 90-cio % szansę, że jest to trojan (jeśli nie - to nim nie jest lub jest to inna wersja). Następnie uruchom Edytor Rejestru (pamiętaj o sporządzeniu kopii plików systemowych) i znajdź klucz o nazwie takiej jak nazwa pliku (powinien być w: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN lub ~\RUNONCE, lub ~\RUNSERVICES itp.). Skasuj klucz będący nazwą ustalonego pliku. Jeśli w katalogach RUN, RUNONCE, RUNSERVICES, itp. nie ma takiej nazwy, to masz ułatwione zadanie - trojan nie jest zapisany do Rejestru i wystarczy zresetować Windows, aby zginął śmiercią naturalną. Ą Zresetuj system Ą Po ponownym uruchomieniu odszukaj backdoora na twoim dysku lokalnym i usuń go do kosza - jeśli system skasuje go, to pozbyłeś się trojana. W przeciwnym wypadku poinformuje ciebie, że "podany plik jest używany przez system Windows". Trzeba więc znowu wrócić do pierwszego kroku i zlokalizować trojana (przywracając skasowany plik i pliki rejestru z uprzednio stworzonego katalogu zapasowego) 2. BOWL 1.0 Autorem programu jest osoba o niewiele mówiącym nicku: !brainwat. Program składa się z dwóch plików: głównego o nazwie bowl.exe (38 912b) i pomocniczego służącego do konfiguracji o nazwie config.exe (15 360b). Konfiguracja polega na ustawieniu hasła serwera (domyślnym hasłem jest allnewbowl) i zainstalowaniu go w systemie. Komunikacja z serwerem odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet wybierając w menu Połącz opcję System Zdalny i wpisując w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 1981. Po nawiązaniu łączności wpisujemy skonfigurowane wcześniej hasło. Po tym zabiegu powinien w naszym oknie telnetowym pokazać się serwer Bowla, który poda konfigurację systemu ofiary. W przypadku błędnego hasła połączenie zostanie zerwane. Komendy wydawane są na wzór MS DOSa. Dostępne polecenia to: Ř beep - generuje sygnał dźwiękowy Ř cat - wyświetlenie zawartości plików Ř cd/chdir - przechodzenie między katalogami Ř clear - wyczyszczenie ekranu Ř cmd[v] - uruchamia niewidzialnego dla ofiary command.com-a [Tryb MS-DOS] Ř cmdr - uruchomienie programu i wypisanie rezultatu po jego zakończeniu (przerwanie - klawisz ESC) Ř del/rm - usunięcie pliku/plików Ř die - "zabicie" sesji serwera (usunięcie go z pamięci) Ř dir/ls - wyświetlenie istniejących katalogów Ř errormsg - wyświetla komunikat o błędzie Ř exec[v] - uruchamia program niewidzialny dla ofiary [widzialny] Ř freeze - zawiesza system ofiary Ř get - ściągnięcie pliku z komputera ofiary (włamywacz uruchamia u siebie przeglądarkę internetową i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku) Ř graphoff - wyłącza tryb graficzny Ř kill - "zabija" aktywny proces Ř md/mkdir - stworzenie katalogu Ř passwd - wypisuje hasła: MS Internet Mail, Netscape Navigator oraz zasobów sieciowych Ř ps - lista aktywnych procesów (nazwa procesu | numer procesu | ścieżka dostępu programu) Ř quit - zamknięcie klienta Ř rd/rmdir - usunięcie pustych katalogów Ř shutdown - resetowanie komputera ofiary Ř swapmouse - zamiana klawiszy myszki Ř telnet - łączenie się telnetem z innym hostem Ř vied - prosty edytor tekstu (do 1024 linii i 256 znaków na każdą) USUNIĘCIE Z SYSTEMU: Bowl nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie: Ą usuń z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices wpis: "NetworkPopup" Ą zresetuj system Ą usuń plik C:\WINDOWS\netpopup.exe Ą zobacz, czy na twoim dysku nie ma pliku bowl.exe

---