Nestan - Mi is az a trojai program? Mire jó? Hogyan működik?

Nagy sok ember tette már fel nekem azokat a kérdéseket, hogy hogyan kell használni a trojai programokat, hogyan kell valakinek a gépét megfertozni, mik valójában és hogyan muködnek? Tehát most megpróbálok minél érthetobben és átfogóbban válaszolni ezekre a kérdésekre.

Összedobta: Nestan

1. Mi is az a trojai program?

Elso lépésben tehát megpróbálom körülírni. A trojai programok nem tartoznak a legitim programok közé. A Mikroszkópnak és Bill boynak köszönhetoen pedig felkerültek a vírus listákra, tehát egyes víruskeresok kiírják a találatok között. Ebbol következik, hogy alkotóik nem szoftvercégek, hanem olyan magányos farkasok illetve csoportok, akik a programokhoz hasonló illegális tevékenységet folytatnak (például hacker és cracker bandák). A Trojan programokat az angol nyelv RAT-nek(patkány) hívja, de ez egy rövidítés, ami a Remote Administration Tools (Távoli Adminisztrációs Eszköz) szavak kezdobetuit takarja. A program kezeloje egy távoli géprol (ami lehet akár a földgömb másik végén is) irányít egy gépet, utasítsokat ad, úgy, hogy az áldozat mit sem sejt az egészrol. Nevüket a szerzok általában valami mítikus történethez, nagy csatához, ellenségekhez kapcsolják. Érdekesség még, hogy a névhez kötheto számok általában az adott trojai portszáma is. Vegyük például a Satan Backdoor nevu elég ismert trojai programot, ami a 666-os portot használja, nemhiába, hiszen a 666 a sátán száma. Ezek a programok két részbol épülnek fel. Van egy kiszolgáló rész, ami lényegesen kisebb méretu, ezt hívjuk szervernek és van egy méretileg nagyobb ügyfélprogram (client). Ha trojai programmal szeretnél mások gépe felett szinte korlátlan hatalomhoz jutni, akkor valamilyen módon el kell juttatni hozzá a szerver részt és rá kell venni, hogy indítsa el. Ezek után már csak az IP száma kell és már meg is van.

Megjegyzés:
Ahhoz, hogy megtudd szerezni a lamer IP számát, elosször is rá kell venni, hogy használjon valamilyen valós ideju chat programot (pl. ICQ, IRC), mondd azt, hogy szeretnél vele jókat dumálni meg még néhány süket duma. Ha kéri, elküldöd neki e-mail-en keresztül, ekkor udvariasan mellékeled a trojai szerver részét, azzal a megjegyzéssel, hogy ha ezt elindítod akkor regisztrálja neked a programot, ha viszont o tölti le, akkor mondd azt, hogy "itt egy kép rólam" sfx-el tömörítve, ha megakarod nézni, akkor indítsd el és o automatikusan kitömörítni magát. Persze ekkor 10 percen belul jön a válasz, hogy o mindenhol kereste, de sehol sincs. Van még egy variáció... A neten találhatók olyan programok melyek megfertoznek egy adott felhasználói programot a trojaival. Mialatt o keres, te már meg is nézted az IP számát. ICQ-ban a Windows könyvtárában lévo netstat programocska segítségével, amely a hozzád kapcsolódók Host nevét írja ki, ha a host név megvan, akkor tracert hostnev és lön IP... IRC-ben pedig "dns/ becenév" paranccsal, ennyi. Most már tied a hatalom, csak tudni kell vele élni, persze az ICQ-s módszert lehet használni IRC-nél is.

A legújabb trojai programok egy részében már beépített funkció(pl. Netbus 1.7), hogy a szerver futtatása után automatikusan (SMTP) küld neked egy levelet, amelyben közli veled, hogy sikeresen beírta magát a rendszerbe, rezidensé vált, mellékeli a fobb információkat és természetesen az ürge IP számát. Ha megkaptad a levelet és sikeresen felvetted a kapcsolatot az áldozat gépén futó szerverrel, akkor innen már szinte mindenre képes leszel, olyan mintha ott ülnél a helyén és te irányítanád a gépét, persze csak addig, amíg le nem megy a netrol.

A trojai programok nagyobbik része már képes a fájlkezelésre. Ezáltal képes vagy programokat futtatni / nézni / törölni / áthelyezni / feltölteni az o merevlemezén. Ez korlátlan hatalmat ad a kezedbe. Ennek segítségével te akármit feltölthetsz az áldozat gépére (fájlokat, vírusokat, más trojai programokat, stb.) és futtathatod is ezeket. Néhány a közelmultban megjelent trojai programban már beépített funkció az egyszeru formázás az áldozat gépén (Format c:\) Ennek segítségével teljesen le tudod törölni merevlemezének tartalmát. Az új, hatásosabb változatok segítségével listát kérhetsz az eltárolt kódokról (password) és így például megtudod szerezni az o kapcsolt vonalas internetszolgáltatásának azonosítóját és kódját is. Néhány nagyon kellemetlen, mások számára idegesíto funkciót is tartalmaznak mint például a rejtett egér, egér irányítás, cd olvasó kinyitása és bezárása, windows újraindítása, Internet Explorerben vagy Netscapeben URL azonnali megnyitása, képek megjelenítése az áldozat gépén, jegyzettömb tömeges megnyitása meg efféle jópofa dolgok (persze ez csak a lamerekkel fordul elo). Ez nem annyira káros, de eléggé fel tudja az illetot bosszantani.

2. Hogyan is muködnek ezek a programok?

Amikor a lamer gépén fut a trojai szerver része, akkor egy speciális portot nyit meg, amire bárki felcsatlakozhat. Ehhez kellenek általában a port scannerek, melyek segítségével megtudhatjuk a nyitott és a foglalt portokat. Természetesen te a porton keresztül trojai szerveréhez csatlakozol és vele kommunikálsz, nem pedig közvetlenül a géppel, egyszerubben csak azokat az utasításokat adhatod ki, amiket a trojai is tartalmaz. Az áldozat gépén a trojai úgy viselkedik, mint egy vírus, mert ez is memóriarezidens. Többféle képpen muxik az önindítás. Egyrészt beírják magukat a Windows könyvtárban található win.ini illetve system.ini fájlban vagy pedig a windows regisztrációs adatbázisába piszkítanak. Nehány trojannal (pl. ICQHack, ICQSpy stb.) akár a vonal másik végén lévo egyén ICQ UIN számát, azonosító kódját, kapcsolatainak listáját, az összes fogadott és küldött üzenet megismerhetjük. A hozzáértobbek teljes pusztítást is képesek végrehajtani ezekkel a vírusokra hasonlító programokkal. Néhány buta ember azt hiszi, hogy a hacker szinte semmihez nem tud hozzáférni egy kapcsolódás után, pedig ez nem így van. Egy profi támadás következtében szinte minden fontos személyes infót meg lehet szerezni, ami csak a számítógépen van, mitpéldául:

  • Bankkártya információkat
  • Banki információkat
  • Azonosítási információkat
  • Levelezolistákat
  • Azonosítókat és kódokat
  • Személyes címet és adatokat
  • E-mail fiókokat
  • Otthoni iroda / Kisvállalokozás információit
  • Vállalati azonosítókat ezálltal különbözo szolgáltatásokhoz hozzáférést
  • Személyes e-mail levelekbe beletekintést
  • Te és családtagjaid vezeték és utónevét
  • Gyerekeid nevét és életkorát
  • Otthoni címedet
  • Telefonszámodat
  • Leveleket, amiket te másoknak írtál pl. Wordben
  • Családi képeidet
  • Iskolai munkákat
  • Más iskolai azonosítót / információt

Szerintem nem örülnél, ha valaki betörne hozzád és személyes dolgaidat internetes oldalakon keresztül közölné másokkal.
Minden nap megszállott tempóban készítik a programozók az újabb, jobb, több funkciós, jobb rejtozködo technikájú trojai programokat és ezzel egyidoben készülnek az ellenszerek (anti-trojan) is. Muszakilag a trojai programok minden operációs rendszer illetve platform alatt képesek muködni. Biztos információ soha sincs a trojanokról, hogy mennyi van belolük, mennyien vannak megfertozve stb. stb... Csak egy biztos, az, hogy érdemes védekezni, ha nem akarunk a dokumentumban leírtak szerint pórul járni és persze a legjobb védekezés a támadás, Hannibált is saját módszereiven gyozték le Zámánál!

©2000. Fearless Criminal Force.