 |
|
Trojany |
Pozornie nieszkodliwy program, posiadający ukryte funkcje przeznaczone do zdobycia konkretnego celu - najczęściej ułatwienia przejęcia kontroli nad komputerem bez wiedzy właściciela maszyny. Koń trojański przyjmuje więc taktykę podobną do mitycznego konia trojańskiego pozornie daru dla mieszkańców Troi, w rzeczywistości narzędzia, które posłużyło do zdobycia tego miasta podstępem.
Dziesiątki różnego typu koni trojańskich znaleźć można łatwo w Internecie a do najpopularniejszych należą Back Orifice, NetBus oraz Prosiak (dzieło polskiego programisty). W przeciwieństwie do wirusów komputerowych, konie trojańskie zazwyczaj nie posiadają samoreplikującego się kodu ułatwiającego ekspansję (wirusy potrafią kopiować swój kod na dyskietki, z których następnie zarażane są następne komputery). Polegają raczej na swoim twórcy bądź właścicielu kopii, który podrzuca je w widocznym miejscu (na dyskietce na biurku, na swojej stronie WWW) lub rozsyła pocztą elektroniczną nadając im wcześniej niewinną nazwę (np. "Readme", "Info") bądź intrygujący opis. Bywa też, że program taki opatrzony jest nazwą znanej aplikacji lub też jest zręcznie w nią wkomponowany – tak, by podczas jej uruchomienia wykonał się także jego kod. Najbardziej przewrotnym typem koni trojańskich są programy, który podając się za narzędzia antywirusowe, wykonują czynność dokładnie odwrotną - instalują się w systemie.
Na konia trojańskiego składają się zazwyczaj dwa programy: jeden z nich jest instalowanym na maszynie ofiary serwerem i zarazem właściwym "trojanem", drugi zaś klientem służącym do przeprowadzania zdalnych operacji. Po zainfekowaniu komputera część serwerowa najczęściej kopiuje sama siebie do katalogu systemowego oraz zmienia ustawienia systemu, tak aby przy każdym następnym uruchomieniu maszyny wystartować w sposób automatyczny (zazwyczaj dopisuje nową pozycję usług autostartu w rejestrze). Nie jest przy tym w żaden sposób widoczny dla przeciętnego użytkownika, ponieważ dzięki atrybutowi "hidden" (ukryty) nie ma własnego okna a jego nazwa nie jest wyświetlana w menedżerze zadań. Serwer często informuje włamywacza o adresie IP komputera-ofiary wysyłając wiadomość e-mail. Innym sposobem odszukiwania potencjalnych ofiar jest "badanie" portów wszystkich komputerów w danej podsieci przy pomocy skanera portów. W ten sposób odkryć można boczne furtki pozostawione przez innych hakerów. W kolejnym kroku serwer otwiera jedne z wolnych portów i zaczyna na nim nasłuchiwać spodziewając się napływających ze strony klienta poleceń. Komendy wydawane przez klienta nadchodzą poprzez sieć, przy czym do komunikacji wykorzystywane są tradycyjne protokoły internetowe TCP/IP oraz UDP/IP.
Po przyjęciu komendy klienta, serwer wykonuje je na maszynie ofiary. Możliwości i zestawy poleceń poszczególnych "trojanów" różnią się dość znacznie; te najbardziej zaawansowane posiadają w swoim "repertuarze" takie funkcje jak:
- przesyłanie informacji systemowych: nazwy komputera, nazwy użytkownika, typu procesora, wielkości pamięci, wersji Windows;
- wyświetlanie zawartości dysków;
- odszukiwanie określonych plików, a także ich wysyłanie, pobieranie, kopiowanie, usuwanie oraz uruchamianie;
- tworzenie i kasowanie katalogów;
- wyświetlanie i kończenie aktywnych procesów;
- udostępnianie rejestrów systemowych;
- pobieranie haseł znajdujących się w pamięci podręcznej;
- przechwytywanie znaków wprowadzanych przez użytkownika z klawiatury przyłączanie się do zasobów sieciowych;
- przechwytywanie transmitowanych informacji;
- przekierowywanie połączeń;
- uruchomienie prostego serwera HTTP dającego dostęp do komputera przez przeglądarkę;
- zawieszanie komputera;
- wyświetlanie okien z dowolnymi komunikatami;
- odgrywanie plików dźwiękowych;
Zaawansowane konie trojańskie mogą być rozszerzane o dodatkowe funkcje poprzez zastosowanie plug-inów. Takie wtyczki mogą być rozprowadzane wraz z serwerem lub przesyłane do serwera i tam instalowane.
To, jak podrzucony do naszego systemu koń trojański wpływać będzie na zachowanie komputera, zależy od włamywacza, który kierować nim będzie za pomocą programu-klienta. Z pewnością powodem do podejrzeń będzie wystąpienie takich niecodziennych zachowań komputera jak długotrwałe "mielenie" dyskiem twardym, znikanie plików i katalogów, ikona połączenia internetowego wskazująca na ciągły transfer danych, mimo iż aktualnie nie wykonujemy żadnych czynności w sieci czy nagłe zawieszanie się komputera. Odgrywanie przez komputer przypadkowych dźwięków, nagłe wysuwanie tacki napędu CD lub dziwne komunikaty w okienkach to ulubione "dowcipy" włamywaczy i niemal pewny znak, iż naszą maszyną interesuje się ktoś z zewnątrz...
Internet stanowi obecnie najczęstszą drogę przenoszenia się koni trojańskich. Z tego powodu zaleca się pobieranie plików tylko z miejsc godnych zaufania – np. z sekcji "download" prowadzonych przez duże internetowe serwisy poświecone komputerom. Daleko posunięta ostrożność zalecana jest nawet w przypadku plików binarnych otrzymanych od znajomych; mogą oni nie zdawać sobie sprawy, iż ich pliki są zarażone, dlatego warto poddać je działaniu programu antywirusowego. Ten zaś z pewnością wart jest niewielkiej inwestycji – posiadając markowy program antywirusowy otrzymujemy zazwyczaj funkcje pozwalające na automatyczne uaktualnianie bazy wirusów przez Internet. Istnieją również aplikacje nastawione na wykrywanie wyłącznie koni trojańskich, a także programy dedykowane tylko jednemu z nich.
Jeżeli podejrzewamy, że w naszym systemie osiedlił się koń trojański, pierwszą czynnością powinno być przeskanowanie systemu programem antywirusowym z najnowszą bazą definicji wirusów.
|
