Nestan - Mi is az a trojai program? Mire jó? Hogyan működik? |
Nagy sok ember tette már
fel nekem azokat a kérdéseket, hogy hogyan kell használni a trojai programokat, hogyan
kell valakinek a gépét megfertozni, mik valójában és hogyan muködnek? Tehát most
megpróbálok minél érthetobben és átfogóbban válaszolni ezekre a kérdésekre.
Összedobta: Nestan 1. Mi is az a trojai program? Elso lépésben tehát megpróbálom körülírni. A trojai
programok nem tartoznak a legitim programok közé. A Mikroszkópnak és Bill boynak
köszönhetoen pedig felkerültek a vírus listákra, tehát egyes víruskeresok kiírják
a találatok között. Ebbol következik, hogy alkotóik nem szoftvercégek, hanem olyan
magányos farkasok illetve csoportok, akik a programokhoz hasonló illegális
tevékenységet folytatnak (például hacker és cracker bandák). A Trojan programokat az
angol nyelv RAT-nek(patkány) hívja, de ez egy rövidítés, ami a Remote Administration
Tools (Távoli Adminisztrációs Eszköz) szavak kezdobetuit takarja. A program kezeloje
egy távoli géprol (ami lehet akár a földgömb másik végén is) irányít egy gépet,
utasítsokat ad, úgy, hogy az áldozat mit sem sejt az egészrol. Nevüket a szerzok
általában valami mítikus történethez, nagy csatához, ellenségekhez kapcsolják.
Érdekesség még, hogy a névhez kötheto számok általában az adott trojai portszáma
is. Vegyük például a Satan Backdoor nevu elég ismert trojai programot, ami a 666-os
portot használja, nemhiába, hiszen a 666 a sátán száma. Ezek a programok két
részbol épülnek fel. Van egy kiszolgáló rész, ami lényegesen kisebb méretu, ezt
hívjuk szervernek és van egy méretileg nagyobb ügyfélprogram (client). Ha trojai
programmal szeretnél mások gépe felett szinte korlátlan hatalomhoz jutni, akkor
valamilyen módon el kell juttatni hozzá a szerver részt és rá kell venni, hogy
indítsa el. Ezek után már csak az IP száma kell és már meg is van. A legújabb trojai programok egy részében már beépített funkció(pl. Netbus 1.7), hogy a szerver futtatása után automatikusan (SMTP) küld neked egy levelet, amelyben közli veled, hogy sikeresen beírta magát a rendszerbe, rezidensé vált, mellékeli a fobb információkat és természetesen az ürge IP számát. Ha megkaptad a levelet és sikeresen felvetted a kapcsolatot az áldozat gépén futó szerverrel, akkor innen már szinte mindenre képes leszel, olyan mintha ott ülnél a helyén és te irányítanád a gépét, persze csak addig, amíg le nem megy a netrol. A trojai programok nagyobbik része már képes a fájlkezelésre. Ezáltal képes vagy programokat futtatni / nézni / törölni / áthelyezni / feltölteni az o merevlemezén. Ez korlátlan hatalmat ad a kezedbe. Ennek segítségével te akármit feltölthetsz az áldozat gépére (fájlokat, vírusokat, más trojai programokat, stb.) és futtathatod is ezeket. Néhány a közelmultban megjelent trojai programban már beépített funkció az egyszeru formázás az áldozat gépén (Format c:\) Ennek segítségével teljesen le tudod törölni merevlemezének tartalmát. Az új, hatásosabb változatok segítségével listát kérhetsz az eltárolt kódokról (password) és így például megtudod szerezni az o kapcsolt vonalas internetszolgáltatásának azonosítóját és kódját is. Néhány nagyon kellemetlen, mások számára idegesíto funkciót is tartalmaznak mint például a rejtett egér, egér irányítás, cd olvasó kinyitása és bezárása, windows újraindítása, Internet Explorerben vagy Netscapeben URL azonnali megnyitása, képek megjelenítése az áldozat gépén, jegyzettömb tömeges megnyitása meg efféle jópofa dolgok (persze ez csak a lamerekkel fordul elo). Ez nem annyira káros, de eléggé fel tudja az illetot bosszantani. 2. Hogyan is muködnek ezek a programok? Amikor a lamer gépén fut a trojai szerver része, akkor egy speciális portot nyit meg, amire bárki felcsatlakozhat. Ehhez kellenek általában a port scannerek, melyek segítségével megtudhatjuk a nyitott és a foglalt portokat. Természetesen te a porton keresztül trojai szerveréhez csatlakozol és vele kommunikálsz, nem pedig közvetlenül a géppel, egyszerubben csak azokat az utasításokat adhatod ki, amiket a trojai is tartalmaz. Az áldozat gépén a trojai úgy viselkedik, mint egy vírus, mert ez is memóriarezidens. Többféle képpen muxik az önindítás. Egyrészt beírják magukat a Windows könyvtárban található win.ini illetve system.ini fájlban vagy pedig a windows regisztrációs adatbázisába piszkítanak. Nehány trojannal (pl. ICQHack, ICQSpy stb.) akár a vonal másik végén lévo egyén ICQ UIN számát, azonosító kódját, kapcsolatainak listáját, az összes fogadott és küldött üzenet megismerhetjük. A hozzáértobbek teljes pusztítást is képesek végrehajtani ezekkel a vírusokra hasonlító programokkal. Néhány buta ember azt hiszi, hogy a hacker szinte semmihez nem tud hozzáférni egy kapcsolódás után, pedig ez nem így van. Egy profi támadás következtében szinte minden fontos személyes infót meg lehet szerezni, ami csak a számítógépen van, mitpéldául:
Szerintem nem örülnél, ha valaki betörne hozzád és
személyes dolgaidat internetes oldalakon keresztül közölné másokkal. |
©2000. Fearless Criminal Force. |