Konie trojanskie
OPIS NAJPOPULARNIEJSZYCH KONI TROJAŃSKICH
Przedstawiam opisy 20 najpospolitszych koni trojańskich (wraz z różnymi ich wersjami) na które natknąć może się użytkownik. Autor zdaje sobie sprawę z tego, iż nie są to wszystkie backdoory, jakie się pojawiły w sieciach komputerowych, jednakże opisane zostały te z nich, które są najpopularniejsze. Programy zostały podzielone na dwie kategorie:
· Aplikacje nie mające GUI, a więc takie, których klientem jest program Telnet
· Aplikacje z własnym GUI, składające się z dwóch części: instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym na komputerze włamywacza
APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ TELNET:
1. T5Port 1.0
Mały (18 432B) koń trojański, autorem którego jest bliżej nie znany osobnik o nicku (icta). Najprostszy z trojanów w swojej kategorii, jeden z pierwszych. Nie ma żadnego programu instalacyjnego czy też konfiguracyjnego. Zajmuje port 31337 na komputerze ofiary. Połączenie odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet przez wybieranie w menu Połącz opcję System Zdalny i wpisaniu w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 31337. Po nawiązaniu łączności wpisujemy domyślne hasło, którego zmienić nie można. Jest nim kojarzące się jednoznacznie słowo „satan”. Uruchomiony na komputerze ofiary aktywny jest tylko przez czas trwania sesji Windows. Aby się w nim zagnieździć, potrzebny jest ręczny wpis do Rejestru Systemowego. Oznacza to, iż łatwo go dezaktywować, ale znacznie trudniej wykryć w systemie (włamywacz może nadać mu taką nazwę, jaka tylko mu przyjdzie na myśl). Jest on niezbyt rozbudowany, o czym świadczą komendy podobne do tych, które znamy z systemu MS-DOS:
Ř exec ... - uruchamia aplikację na komputerze ofiary
Ř cmd ... - uruchamia komendę systemową
Ř annoy - wyświetla komunikat o błędzie
Ř shutdown - resetuje komputer ofiary
Ř exit - zamyka sesję
Ř die - „zabicie” sesji serwera (usunięcie go z pamięci)
Ř help - wyświetlenie pomocy
USUNIĘCIE Z SYSTEMU:
T5Port nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:
· Sprawdź za pomocą skanera portów, czy jest otwarty port 31337 (uwaga: ten port jest również używany przez Back Orifice'a). Jeśli jest, wówczas musisz sprawdzić, jakie są uruchomione procesy w obecnej sesji Windows (opisane wyżej w dziale USUWANIE RĘCZNE). Ustal, jak nazywa się potencjalny trojan (nie jest możliwe dokładne ustalenie nazwy - każdy z uruchomionych programów może być backdoorem). Jeśli znasz już nazwę pliku, to poszukaj go na twoich dyskach lokalnych i porównaj z podanym wyżej rozmiarem. Jeśli będzie pasował - masz 90-cio % szansę, że jest to trojan (jeśli nie - to nim nie jest lub jest to inna wersja). Następnie uruchom Edytor Rejestru (pamiętaj o sporządzeniu kopii plików systemowych) i znajdź klucz o nazwie takiej jak nazwa pliku (powinien być w: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRUN lub ~RUNONCE, lub ~RUNSERVICES itp.). Skasuj klucz będący nazwą ustalonego pliku. Jeśli w katalogach RUN, RUNONCE, RUNSERVICES, itp. nie ma takiej nazwy, to masz ułatwione zadanie - trojan nie jest zapisany do Rejestru i wystarczy zresetować Windows, aby zginął śmiercią naturalną.
· Zresetuj system
· Po ponownym uruchomieniu odszukaj backdoora na twoim dysku lokalnym i usuń go do kosza - jeśli system skasuje go, to pozbyłeś się trojana. W przeciwnym wypadku poinformuje ciebie, że „podany plik jest używany przez system Windows”. Trzeba więc znowu wrócić do pierwszego kroku i zlokalizować trojana (przywracając skasowany plik i pliki rejestru z uprzednio stworzonego katalogu zapasowego)
2. BOWL 1.0
Autorem programu jest osoba o niewiele mówiącym nicku: !brainwat. Program składa się z dwóch plików: głównego o nazwie bowl.exe (38 912b) i pomocniczego służącego do konfiguracji o nazwie config.exe (15 360b). Konfiguracja polega na ustawieniu hasła serwera (domyślnym hasłem jest allnewbowl) i zainstalowaniu go w systemie. Komunikacja z serwerem odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet wybierając w menu Połącz opcję System Zdalny i wpisując w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 1981. Po nawiązaniu łączności wpisujemy skonfigurowane wcześniej hasło. Po tym zabiegu powinien w naszym oknie telnetowym pokazać się serwer Bowla, który poda konfigurację systemu ofiary. W przypadku błędnego hasła połączenie zostanie zerwane. Komendy wydawane są na wzór MS DOSa. Dostępne polecenia to:
Ř beep - generuje sygnał dźwiękowy
Ř cat - wyświetlenie zawartości plików
Ř cd/chdir - przechodzenie między katalogami
Ř clear - wyczyszczenie ekranu
Ř cmd[v] - uruchamia niewidzialnego dla ofiary command.com-a [Tryb MS-DOS]
Ř cmdr - uruchomienie programu i wypisanie rezultatu po jego zakończeniu (przerwanie - klawisz ESC)
Ř del/rm - usunięcie pliku/plików
Ř die - „zabicie” sesji serwera (usunięcie go z pamięci)
Ř dir/ls - wyświetlenie istniejących katalogów
Ř errormsg - wyświetla komunikat o błędzie
Ř exec[v] - uruchamia program niewidzialny dla ofiary [widzialny]
Ř freeze - zawiesza system ofiary
Ř get - ściągnięcie pliku z komputera ofiary (włamywacz uruchamia u siebie przeglądarkę internetową i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku)
Ř graphoff - wyłącza tryb graficzny
Ř kill - „zabija” aktywny proces
Ř md/mkdir - stworzenie katalogu
Ř passwd - wypisuje hasła: MS Internet Mail, Netscape Navigator oraz zasobów sieciowych
Ř ps - lista aktywnych procesów (nazwa procesu | numer procesu | ścieżka dostępu programu)
Ř quit - zamknięcie klienta
Ř rd/rmdir - usunięcie pustych katalogów
Ř shutdown - resetowanie komputera ofiary
Ř swapmouse - zamiana klawiszy myszki
Ř telnet - łączenie się telnetem z innym hostem
Ř vied - prosty edytor tekstu (do 1024 linii i 256 znaków na każdą)
USUNIĘCIE Z SYSTEMU:
Bowl nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:
· usuń z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices wpis: „NetworkPopup”
· zresetuj system
· usuń plik C:WINDOWS
etpopup.exe
· zobacz, czy na twoim dysku nie ma pliku bowl.exe
3. ACID SHIVER
AS to potężne narzędzie służące nie tylko do przejmowania kontroli nad czyimś komputerem, ale również do generowania konia trojańskiego, który zostanie uruchomiony na komputerze ofiary. Pakiet składa się z dwóch części: aplikacji konfiguracyjnej [domyślnie nazywa się: ACiD Setup.exe (14 336b)] oraz serwera [domyślnie: AciDShivers.exe (186 368b)]. Za pomocą pierwszej włamywacz tworzy dowolnie nazywający się plik, w skład którego wchodzą: serwer oraz takie dane, jak: serwer SMTP (służący do przesyłania poczty) i adres emailowy włamywacza. Aplikacja ma ikonę łudząco przypominającą programy instalacyjne dystrybuowane przez Microsoft. Backdoor wyróżnia się na tle innych: aplikacja próbuje w każdej sesji Windows połączyć się ze skonfigurowanym przez włamywacza serwerem pocztowym i wysłać na podany przez niego adres informację o posiadanym przez ofiarę numerze IP oraz porcie, przez który możliwa będzie komunikacja (port ten zmienia się za każdym razem!). Na nic więc się przyda w sieci lokalnej nie osiadającej własnego serwera pocztowego. Na dodatek AS to projekt otwarty: udostępniany jest wraz z kodem źródłowym i każdy użytkownik-programista może dodać coś od siebie. Na szczęście AS wykrywany jest przez większość markowych programów antywirusowych. Serwer potrzebuje do działania następujące pliki: MSvbvm50.dll oraz MSwinsck.ocx. Autor zetknął się z następującymi komendami (AS szybko ewoluuje w Internecie):
Ř Help (komenda) - pomoc (szczegółowa)
Ř BEEP <#> - generuje #-razy dźwięk
Ř BOUNCE - przekierunkowanie połączenia na dany host i port
Ř CAT - wyświetla zawartość pliku
Ř CD - zmiana katalogu
Ř CLS - czyszczenie ekranu
Ř CMD - uruchamia komendę
Ř COPY - kopiuje plik1 na plik2
Ř DATE - pokazuje datę
Ř DEL - skasowanie pliku
Ř DESK - zmienia na domyślny katalog z zawartością Pulpitu
Ř DIE - wyłącza AS
Ř DIR - wyświetla listę katalogów
Ř DRIVE - podaje informację o napędzie
Ř DRIVES - wyświetla dyski fizyczne, ram-dyski, CD-ROM-y, sieciowe
Ř ENV - wyświetla zmienne systemowe DOS-a
Ř GET - ściąga z serwera plik
Ř HIDE - schowanie aplikacji o danym (identyfikatorze) widocznej w menedżerze programów (lista aplikacji pokazująca się po wciśnięciu kombinacji: CTRL+ALT+DEL)
Ř INFO - pokazuje informację o komputerze ofiary i użytkowniku
Ř KILL - „zabicie” aktywnego procesu
Ř LABEL - zmienia etykietę dysku
Ř LS - to samo co DIR
Ř MKDIR - zakłada katalog
Ř NAME - zmienia nazwę komputera ofiary
Ř PORT <#> - zmiana portu AS (dostępny po zresetowaniu serwera)
Ř PS - lista aktywnych procesów
Ř RMDIR - przenosi katalog wraz z podkatalogami i plikami
Ř S - wysyła kombinację klawiszy do aktywnej aplikacji
Ř SH - jw. i pokazuje rezultat
Ř SHOWs - pokazanie aplikacji jw.
Ř SHUTDOWN - resetuje serwer
Ř TIME - pokazuje czas
Ř VERSION - pokazuje numer wersji AS
USUNIĘCIE Z SYSTEMU:
· AS jest wykrywany przez markowe programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie.
· Można usunąć go manualnie: AS pozostawia po sobie wpis „Explorer” = „C:WINDOWSMSGSVR16.EXE” (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczach: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices.Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku: C:WINDOWSMSGSVR16.EXE.
Istnieje również zmieniona przez LEENTech Corporation (Living in an Evolution of Enhanced Networking Technology) wersja AcidShiver. Różni się nie tylko wielkością serwera (188 416b), ale również jego nazwą (tour98.exe) i wpisem „WinTour” = „C:WINDOWSWINTOUR.EXE” w rejestrze (w kluczach: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun i HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices). Dodano również nowe funkcje:
Ř BCAT lub BGET - wyświetla zawartość pliku binarnego
Ř MACADDR - pokazuje status połączenia ethernetowego
Ř RECENT - kasuje folder RECENT (z ostatnio uruchomionymi dokumentami)
Ř STATUS - pokazuje status wszystkich używanych od początku sesji Windows portów
Ř WSFTP - ustawia domyślny folder WS_FTP
Nowy AS nie jest jeszcze wykrywany przez programy antywirusowe (Autor ma programu Norton AntiVirus z sygnaturą z dnia 26 marca 1999 r., nowa wersja AS testowana była dnia 7 kwietnia 1999 r.).
APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ KLIENTA:
1. BACK ORIFICE
Stworzony przez Cult of the Dead Cow Communications Back Orifice jest potężnym narzędziem do administracji komputerem ofiary. Łączy w sobie cechy wcześniejszych aplikacji (Bowla, T5Porta), udostępniając konsolę tekstową oraz aplikacji klient-serwer, udostępniając ładny, niestandardowy interfejs GUI. Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Instalacja przebiega szybko i sprawnie: pakiet składa się z kilku plików:
bo.txt - dokumentacja BO (15 184b)
plugin.txt - dokumentacja pluginów BO (914b)
boserve.exe - samoinstalujący się serwer BO (124 928b)
bogui.exe - klient graficzny BO (284 160b)
boclient.exe - klient tekstowy BO (57 856b)
boconfig.exe - konfiguracja BO (28 672b)
melt.exe - dekompresor plików spakowanych programem freeze (29 184b)
freeze.exe - kompresor plików (33 280b)
Najważniejszą częścią BO jest serwer o nazwie boserve.exe. Wystarczy uruchomić go kliknięciem lub naciśnięciem klawisza ENTER, aby zainstalował się „bezszelestnie” w katalogu systemowym. Aby skonfigurować serwer, należy posłużyć się programem boconfig.exe, który może również dołączyć się do innych plików wykonywalnych w ten sam sposób jak to robią wirusy. Dwa kolejne wykonywalne pliki w pakiecie są używane przez konia trojańskiego podczas kompresji (freeze) / dekompresji (melt) plików na komputerze ofiary. Uruchomiony po raz pierwszy serwer BO tworzy plik windll.dll w katalogu systemowym Windows (plik ten jest zawarty w kodzie konia trojańskiego), potem wyszukuje aktualnie uruchomione przez ewentualną poprzednią wersję programu procesy, zakańcza je i uaktualnia uruchamiając własne, kopiuje sam siebie do katalogu systemowego Windows (pod nazwą ".exe" i rejestruje się w rejestrze jako jedna z usług autostartu). Później przydziela sobie port numer 31337 (identyczny do T5Port) i zaczyna nasłuchiwać na tym porcie. Komendy można wydawać albo za pomocą aplikacji o graficznym GUI lub na konsoli tekstowej. Zależnie od wydanego polecenia trojan może podejmować następujące działania:
Ř App add - uruchamia tekstowe aplikacje gotową do „nasłuchu” przez port (dostępne później przez np. Telnet)
Ř App del - zatrzymuje wystartowaną wyżej aplikację
Ř Apps list - wyświetla listę uruchomionych wyżej aplikacji
Ř Directory create - tworzy na serwerze katalog
Ř Directory list - wyświetla listę katalogów na serwerze
Ř Directory remove - usuwa katalogi
Ř Export add
Ř Export delete
Ř Exports list
Ř File copy - kopiuje plik/pliki
Ř File delete -kasuje plik/pliki
Ř File find -szuka plik/pliki
Ř File freeze - kompresuje plik/pliki
Ř File melt - dekompresuje plik/pliki
Ř File view - przegląda plik tekstowy
Ř HTTP Disable - wyłącza serwer http
Ř HTTP Enable - włącza serwer http (można uzyskać dostęp do komputera przez przeglądarkę)
Ř Keylog begin - loguje sekwencję wciskanych przez ofiarę klawiszy
Ř Keylog end - kończy logowanie
Ř MM Capture avi - przechwytuje obraz video wraz z dźwiękiem z serwera
Ř MM Capture frame - przechwytuje pojedyncze klatki
Ř MM Capture screen - przechwytuje obraz (screenshot)
Ř MM List capture devices - lista przechwytujących urządzeń
Ř MM Play sound - odtwarza dźwięk na serwerze
Ř Net connections - lista połączeń sieciowych
Ř Net delete - odłącza serwer ofiary od sieci
Ř Net use - przyłącza serwer ofiary do sieci
Ř Net view - wyświetla wszystkie informacje dotyczące sieci (serwery, udostępnione katalogi/dyski)
Ř Ping host - pinguje serwer
Ř Plugin execute - uruchamia plugin BO
Ř Plugin kill - kończy działanie pluginu BO
Ř Plugins list - wyświetla listę dostępnych pluginów BO
Ř Process kill - kończy proces
Ř Process list - wyświetla listę dostępnych procesów
Ř Process spawn - uruchamia program jako ukryty / widzialny na serwerze
Ř Redir add - przekierunkowuje zasoby TCP/IP (połączenia)
Ř Redir del - usuwa przekierunkowania zasobów TCP/IP
Ř Redirs list - wyświetla listę dostępnych przekierunkowań zasobów TCP/IP
Ř Reg create key - tworzy klucz w Rejestrze Systemowym
Ř Reg delete key - kasuje klucz
Ř Reg delete value - kasuje wartość klucza
Ř Reg list keys - wyświetla listę kluczy rejestru
Ř Reg list values - wyświetla wartość klucza
Ř Reg set value - ustawia wartość klucza (binarną, DWORD, string)
Ř Resolve host - zamienia nazwę domeny na adres IP
Ř System dialogbox - wyświetla okienko dialogowe z komunikatem i przyciskiem „OK”
Ř System info - wyświetla informacje o serwerze
Ř System lockup - skutecznie zawiesza system
Ř System passwords - podaje hasła systemowe serwera
Ř System reboot - resetuje serwer
Ř TCP/IP file receive - łączy serwer z podanym IP i zapisuje do pliku ściągnięte dane
Ř TCP/IP file send - łączy serwer z podanym IP i przesyła doń dane
Koń trojański może rozbudowywać swoje możliwości poprzez wbudowane plug-iny. Mogą one być wysyłane do "serwera" i instalowane.
USUNIĘCIE Z SYSTEMU:
· Back Orifice jest wykrywany przez programy antywirusowe. Jeśli dysponujesz najnowszą sygnaturą wirusów, to problem BO masz z głowy. Jeśli nie, to będziesz zmuszony ściągnąć ją z Internetu
· Możesz także użyć programów do wykrywania BO. W Sieci znajdziesz ich całą masę. Najbardziej znane to: Bored 0.2 executable i BoDetect v1.0.2. oraz NOBO.
· Manualnie: uruchom Edytor Rejestru (regedit.exe) i znajdź klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices. Usuń wartość o nazwie: (domyślna) „ .exe”. Zresetuj system. Z katalogu C:WINDOWSSYSTEM usuń pliki: .exe (uważaj, bo w zwykłym menedżerze plików prawie go nie widać - zamiast ikony jest przerwa. Najlepiej ustawić w menu Widok|Szczegóły,
wówczas obok pustego miejsca będzie jeszcze wyszczególniony rozmiar pliku i jego rodzaj - Aplikacja) i windll.dll. Twój system jest od tej pory bezpieczny.
2. DEEP THROAT REMOTE 1.0
Napisany przez The DarkLIGHT Corporation.Deep Throat składa się z dwóch plików: serwera systempatch.exe (260 971b) oraz klienta RemoteControl.exe (271 959b). Serwer DTR 1.0 nie jest zabezpieczany hasłem, dostęp do niego jest więc możliwy z każdego klienta programu. Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Wyposażony został w „podstawowe” funkcje:
Ř Otwieranie i zamykanie CD-ROMu na serwerze
Ř Uruchamianie okienka dialogowego z komunikatem
Ř Chowanie/przywracanie paska startowego Windows
Ř Serwer FTP umożliwiający ściągnięcie dowolnego pliku z komputera ofiary (aby tego dokonać niezbędny jest klient FTP, np. Cute FTP lub WS_FTP)
Ř Zrzut ekranu serwera (dzięki temu można zobaczyć aktualny ekran na serwerze, np. pulpit ofiary)
Ř Otwarcie adresu internetowego na serwerze
Ř Włącza tryb oszczędzania energii, który może być wyłączony tylko przez włamywacza
Ř W wersji późniejszej niż 1.0 kradnie hasła systemowe
Ř Uruchamia programy na serwerze (widzialne lub nie dla użytkownika)
Ř Resetuje serwer
Ř Skaner obecności serwera DTR na hostach
Ř Pingowanie (przesyłanie pakietu informacji) hosta w celu sprawdzenia aktywności serwera DTR
Ř Podanie dokładnych informacji o komputerze ofiary
USUNIĘCIE Z SYSTEMU:
· DTR jest wykrywany przez większość znanych programów antywirusowych
· Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
· Uruchom Edytor Rejestru i odnajdź klucz o nazwie: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. W kluczu tym znajdź wpis „SystemDLL32” i zapamiętaj nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSTEMPATCH.EXE”). Skasuj wpis.
· Zresetuj komputer. Po ponownym uruchomieniu Windows odszukaj na dysku aplikację i skasuj ją. Twój system jest od tej pory bezpieczny.
3. MASTER'S PARADISE
W przypadku MP znamy jego twórcę. Jest nim niemiecki programista Dan Lehman. Podobnie jak jego poprzednicy, MP składa się z dwóch części. Serwer może być dołączony do praktycznie każdej aplikacji. W Internecie upowszechnił się poprzez dołączenie do popularnej gry-parodii o tytule: "Pie Bill Gates" (rzucanie ciastkiem w B. Gatesa), gdzie zagnieździł się w pliku GAME.EXE. Uruchamiając na swoim komputerze grę zarażamy jednocześnie system koniem trojańskim (najczęściej poprzez zainstalowanie gry, której nielegalna dystrybucja rozpowszechniona jest w samorozpakowujących się archiwach programu TurboSFX). Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Program wyposażono w różne funkcje:
Ř Otwieranie/zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu)
Ř „Podsłuchiwanie” ofiary - przesyłanie ciągu wystukiwanych na serwerze znaków
Ř Chowanie, pokazywanie i wyłączanie okien aplikacji na serwerze
Ř Generowanie dźwięku wciskanych klawiszy
Ř Nagrywanie dźwięku przez mikrofon ofiary
Ř Nawigacja myszką ofiary (poprzez współrzędne lub manualnie - sterowanie własną)
Ř Odtworzenie dźwięku na komputerze ofiary
Ř Otwarcie adresu internetowego na serwerze
Ř Przesyłanie dowolnych plików na serwer
Ř Screenshot - zrzut ekranu ofiary
Ř Ściąganie i kasowanie dowolnego pliku na serwerze
Ř Uruchomienie aplikacji na serwerze
Ř Wyłączenie dowolnego klawisza
Ř Wysłanie komunikatu do ofiary.
Ř Wysyłanie tekstu do aktywnej aplikacji.
Ř Wyświetlenie dokładnej informacji o komputerze
Ř Wyświetlenie na ekranie ofiary obrazka.
Ř Zamiana przycisków myszki: prawy na lewy i na odwrót
Ř Zmiana głośności dźwięku
Ř Zresetowanie, wylogowanie ofiary.
USUNIĘCIE Z SYSTEMU:
· MP jest wykrywany przez większość znanych programów antywirusowych
· Usuwa go także aplikacja wykrywająca Back Orifice'a: BOClean 2.01
· Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
· MP instaluje się do systemu poprzez zastąpienie programu SYSEDIT.EXE swoim serwerem oraz biblioteki KeyHook.DLL znajdującej się w katalogu Windows lub systemowym (C:WINDOWS lub C:WINDOWSSYSTEM). O ile odzyskanie tego pierwszego pliku nie sprawia większych trudności (jest dołączany do każdej dystrybucji programu instalacyjnego systemu), to z przywróceniem drugiego pliku są już większe problemy: jest on dołączany do niektórych tylko programów - trzeba więc znaleźć go w ich wersjach instalacyjnych lub w Internecie.
· Uruchom Edytor Rejestru i odnajdź klucz o nazwie: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. W kluczu tym znajdź wpis i zapamiętaj nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSEDIT.EXE”). Skasuj wpis.
· Zresetuj komputer. Po ponownym uruchomieniu Windows odszukaj na dysku aplikację i skasuj ją. Skasuj również bibliotekę KeyHook.DLL. przywróć powyższe pliki z oryginalnych wersji instalacyjnych. Twój system jest od tej pory bezpieczny.
4. NETBUS 1.60, 1.70, 2.0
Podobnie jak w przypadku wcześniejszego Master's Paradise znamy twórcę Netbus'a. Jest nim Carl-Fredrik Neikter. Co ciekawsze, wersja 2.0 jest programem shareware, który należy zarejestrować [istnieją 2 rodzaje licencji: na „użytek domowy” oraz dla firm i organizacji (pojedyncze lub stanowiskowe)]. Opłata jest związana, jak twierdzi autor, nie z komercyjną działalnością, ale ze wsparciem jego działań. Wersja 1.6 składa się z dwóch najważniejszych plików (nie mówiąc o dokumentacji): serwera o nazwie Patch.exe (472 576b) oraz klienta - NetBus.exe (567 296b). Wersja 1.7 to pliki o tej samej nazwie, ale innym rozmiarze: 494 592b (serwer) i 599 552b (klient). Obie wersje instalują się domyślnie na portach 12345 lub 12346. Najnowsza wersja rozpowszechniana jest w charakterystycznej dla znanych programów dystrybucji InstallShield(r) Wizard (rysunek) i jej serwer zajmuje domyślnie port 20034.
Ustawienia serwera zmienić można programem instalacyjnym (NetBus 2.0 - rysunek) lub po połączeniu się z nim klientem (każdy). W wersjach wcześniejszych od 2.0 wystarczy tylko uruchomić serwer (jego nazwa może się dowolnie różnić od patch.exe, można też stosować parametry: /noadd, /remove, /pass:xxx, /port:xxx), aby stał się aktywny podczas każdej sesji Windows.
NetBus ma funkcje podobne do wcześniejszych koni trojańskich. Są to:
Ř Otwieranie, zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu)
Ř „Podsłuchiwanie” ofiary - przesyłanie ciągu wystukiwanych na serwerze znaków
Ř Chowanie, pokazywanie i wyłączanie okien aplikacji na serwerze
Ř Generowanie dźwięku wciskanych klawiszy
Ř Nagrywanie dźwięku przez mikrofon ofiary
Ř Nawigacja myszką ofiary (poprzez współrzędne lub manualnie - sterowanie własną)
Ř Odtworzenie dźwięku na komputerze ofiary (format WAV)
Ř Otwarcie adresu internetowego na serwerze
Ř Powiadamianie emailowe o obecności w sieci ofiary
Ř Przesyłanie dowolnych plików na serwer
Ř Przekierunkowanie danych ze specyficznego portu na podany host i na odwrót (możliwość sterowania aplikacją ofiary z komputera włamywacza przez konsolę telnetową)
Ř Screenshot - zrzut ekranu ofiary
Ř Skaner serwerów NetBusa w sieci
Ř Ściąganie i kasowanie dowolnego pliku na serwerze
Ř Uruchomienie aplikacji na serwerze
Ř Wyłączenie dowolnego klawisza
Ř Wysłanie komunikatu do ofiary.
Ř Wysyłanie tekstu do aktywnej aplikacji.
Ř Wyświetlenie dokładnej informacji o komputerze
Ř Wyświetlenie na ekranie ofiary obrazka (w formacie BMP i JPG)
Ř Zamiana przycisków myszki: prawy na lewy i na odwrót
Ř Zmiana głośności dźwięku
Ř Zmiana konfiguracji serwera NetBusa (port, hasło, itp.)
Ř Zresetowanie, wylogowanie ofiary.
W wersji 2.0 dodano:
Ř Zmieniono GUI
Ř Zwiększono wydajność
Ř Zmieniono menedżera plików
Ř Zmieniono menedżera okien
Ř Dodano menedżera Rejestru Systemowego
Ř Dodano menedżera pluginów
Ř Dodano możliwość ściągnięcia filmu z serwera
Ř Dodano możliwość wykradzenia haseł systemowych
Ř Dodano klienta Chatu z innymi użytkownikami NetBusa (sic!)
USUNIĘCIE Z SYSTEMU:
· NetBus jest wykrywany przez większość znanych programów antywirusowych
· Usuwa go także aplikacja NetBus Remover
· Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
· Wykrycie NetBusa jest trudne, ponieważ jego serwer może przyjąć każdą nazwę. Na szczęście można go odkryć w Rejestrze Systemowym. NetBus pozostawia takie wpisy jak: HKEY_CURRENT_USERNETBUS 1.6, HKEY_CURRENT_USERNETBUS 1.7, HKEY_CURRENT_USERNetBus, HKEY_CURRENT_USERNetBus Server (dwa ostatnie to wersja 2.0, wtedy wystarczy tylko odszukać klucz HKEY_CURRENT_USERNetBusTransfer, w którym podana jest ścieżka serwera, usunąć dwa wcześniejsze klucze, zresetować komputer i w następnej sesji Windows usunąć serwer oraz plik NBHelp.dll). Wcześniejsze wersje NetBusa trudniej jest wykryć (chyba że włamywacz nie pofatygował się i nie zmienił nazwy serwera - wówczas jest nim plik o nazwie Patch.exe). NetBus w wersji 1.6 i 1.7 zostawia charakterystyczny wpis w Rejestrze: HKEY_CURRENT_USER
azwa_serwera_w_wersji_1.6_lub_1.7. Znając nazwę można usunąć konia trojańskiego kasując w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis o nazwie takiej, jak nazwa serwera (czyli np. jeśli nasz serwer nazywa się serwer.exe, to zostawia takie klucze w Rejestrze, jak: 1. HKEY_CURRENT_USERSERWER, 2. A w HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: nazwa „SERWER” - dane „ścieżka_dostępuserwer.exe”. Wystarczy usunąć te dwa wpisy, zresetować komputer i manualnie usunąć serwer z dysku, aby pozbyć się ostatecznie NetBusa.
5. PROSIAK 0.47, 1/2
Program o swojsko brzmiącej nazwie Prosiak jest ewenementem, jeśli chodzi o twórczość polskich programistów (nawet jeśli chodzi o tak delikatną kwestię, jak włamywanie się do cudzych komputerów). Jego autorem jest student ukrywający się pod adresem kwikwi@kki.net.pl. Trojan składa się z dwóch części: serwera PROSIAK.EXE (238 592b w wersji 0.47, 237 056b w wersji 1/2) oraz klienta PRO_CLI.EXE (211 456b w v. 0.47, 258 048b w v. 1/2). Serwer instaluje się na porcie 33333 (v. 0.47) lub 44444 (v. 1/2). Działa na systemach: Windows 95 i 98. UWAGA ! Jako że Prosiak jest polskim koniem trojańskim, nie jest jeszcze (kwiecień '99) wykrywany przez programy antywirusowe. Usunąć można go jedynie manualnie. W przeciwieństwie do wcześniejszych koni trojańskich, które powielały pomysły, Prosiak ma kilka innowacji. Dostępne w wersji 0.47 funkcje to:
Ř zamknięcie, odinstalowanie, zmiana nazwy serwera
Ř zmiana nazwy sieciowej komputera
Ř zmiana nazwy, chowanie, pokazywanie, minimalizowanie, maksymalizowanie okien oraz „okien-dzieci” (czyli np. menu aplikacji)
Ř efekty wizualne: skurczenie, wstrząsanie, migotanie, zamiana kolorów na negatyw, dziurkowanie okien
Ř podstawowe operacje na plikach (kopiowanie, usuwanie, uruchamianie, tworzenie katalogów, ściąganie, przesyłanie na serwer)
Ř podstawowe informacje o serwerze (nazwa domeny, IP, ścieżki systemowe)
Ř czytanie, usuwanie, przesyłanie tekstu do schowka
Ř uruchamianie na serwerze strony internetowej
Ř uruchamianie na serwerze domyślnego programu pocztowego z zadanym adresem emailowym i tematem listu
Ř uruchamianie komend DOS-a
Ř włączenie wygaszacza ekranu, trybu oszczędzania energii, zmiana kolorów w Windowsie na negatyw (również czasowa)
Ř schowanie/ pokazanie przycisku START, paska zadań (TASKBAR), Pulpitu
Ř zamiana klawiszy myszki
Ř wyświetlenie okienka dialogowego/ wodzenie za kursorem myszki komunikatu
Ř wylogowanie, zresetowanie, zamknięcie systemu
Ř pokazanie na ekranie serwera obrazka
Ř odtworzenie na serwerze pliku muzycznego
Ř zrzut ekranu z serwera (niestety bardzo wolny)
Ř efekty wizualne na ekranie: „skaczące pixelki”, „inwazja mrówek”, „rozmycie”, „znikające kolory”
W wersji 1/2 dodano:
Ř dokładniejsze informacje o systemie (czas pracy, rozdzielczość, pamięć fizyczna, długość pinga
Ř skaner sieci (wykrywanie Prosiaka na innych komputerach podłączonych do sieci)
Ř opcję zawieszenia komputera
Ř możliwość uruchamiania i edycji skryptów
Ř zmiana hasła (domyślnie: prosiak)
Ř wystartowanie serwera proxy (przekierunkowanie aplikacji znane z BO czy NetBusa)
Ř wystartowanie serwera httpd
Ř konsola wykonywanych przez serwer poleceń
USUNIĘCIE Z SYSTEMU:
· Prosiak nie jest wykrywany przez programy antywirusowe
· Nie ma także na razie aplikacji wykrywających jego działanie
· Wykrycie Prosiaka jest łatwiejsze niż NetBusa, mimo iż jego serwer również może przyjąć każdą nazwę. W przeciwieństwie do NetBusa, Prosiak nie zmienia nazwę wpisu w rejestrze (Microsoft DLL Loader), a pozostawia go w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices. Domyślnie wpis ma wartość: windll32.exe (w wersji 0.47) lub vbrun60.exe (w wersji 1/2). Ponadto w wersji 1/2 Prosiak tworzy klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRconfig. Usuwając wpis, resetując komputer i kasując serwer znajdujący się w katalogu C:WINDOWSSYSTEM pozbędziemy się go na dobre.
6. SOCKETS DE TROIE
Jest to drugi (po Prosiaku) program „narodowy” stworzony w języku innym niż angielski. Powstał w ojczyźnie Napoleona, w październiku 1998 roku. Napisany w języku Delphi 3, ma rozbudowany (około 443 kB) rdzeń. Ciekawostką jest to, iż dystrybucja tego konia trojańskiego obejmuje: aplikacje klient-serwer, dokumentację oraz kod źródłowy (w przeciwieństwie do innych, „komercyjnych” aplikacji). Istnieją znane 2 rodzaje instalacji serwera:
1. Uruchomiony serwer podaje komunikat o brakującej bibliotece (SETUP32.DLL) instalując się do katalogu systemowego Windows (jako plik MSCHV32.EXE) i modyfikując zarazem Rejestr Systemowy, aby uruchamiać się z każdą sesją systemu (pierwszy klucz: HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunLoad oraz wpis: „MSchv32 Drv = C:WINDOWSSYSTEMMSchv32.exe”, drugi klucz: HKEY_CLASSES_ROOTDirectSockets oraz wpis:
„DirectSocketsCtrl = $A4 D5 #FFF”).
2. Uruchomiony serwer podaje komunikat o brakującej bibliotece (ISAPI32.DLL) instalując się trzykrotnie: raz do katalogu Windows (c:windows
srcload.exe), 2 razy do katalogu systemowego (c:windowssystemmgadeskdll.exe,
c:windowssystemcsmctrl32.exe) i modyfikując zarazem Rejestr Systemowy: pierwszy klucz: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunLoad oraz wpis: Mgadeskdll = C:WINDOWSSYSTEMMgadeskdll.exe
drugi klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLoad oraz wpis: Rsrcload = C:WINDOWSRsrcload.exe
trzeci klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesLoad oraz wpis: Csmctrl32 = C:WINDOWSSYSTEMCsmctrl32.exe
USUNIĘCIE Z SYSTEMU:
· Sockets de Troie nie jest wykrywany przez programy antywirusowe
· Usuwa go Anti-Sockets de Troie
· SdT usunąć można również manualnie - kasując podane wyżej klucze w Rejestrze Systemowym. Wcześniej należy zapamiętać ścieżki i nazwy plików, które po ponownym uruchomieniu Windows trzeba usunąć z systemu. Od tej chwili system jest bezpieczny.
7. WinCrash 1.03
Kolejny program z dziedziny aplikacji klient-serwer. Stworzony został przez bliżej nieznany duet programistów: M@niac_Teen & Terminal Crasher. Konfiguracja serwera [domyślnie Server.exe (296 448b), charakterystyczna ikonka Windows - falujące czterokolorowe okienko] na komputerze ofiary odbywa się automatycznie, a sam program nie jest widzialny na pasku zadań czy też liście aktywnych procesów (uruchamianej kombinacją klawiszy: CTRL+ALT+DEL). Włamywacz może również dowolnie zmieniać nazwę pliku serwera. Dostępne funkcje:
Ř otwieranie, zamykanie CD-ROM-u
Ř zapalanie, wygaszanie diod na klawiaturze (CAPS_LOCK i SCROLL_LOCK)
Ř zablokowanie, odblokowanie, zdalne sterowanie kursorem myszy
Ř wyłączenie, włączenie monitora
Ř „zapchanie” drukarki sieciowej
Ř zablokowanie klawiszy systemowych (np. CAPS_LOCK, SCROLL_LOCK)
Ř wyłączenie schowka
Ř włączanie, wyłączanie wygaszacza ekranu
Ř ukrycie lub wyłącznie: paska zadań, przycisku START
Ř usunięcie, zmiana tapety
Ř zmiana czasu i daty systemowej
Ř zamknięcie, odinstalowanie serwera
Ř zamknięcie uruchomionych programów
Ř zamknięcie, zawieszenie, zresetowanie Windows
Ř wyświetlenie okienka dialogowego (CHAT) lub tekstu
Ř pobranie informacji o systemie
Ř zdobycie haseł systemowych
Ř wyświetlenie listy aktywnych procesów
Ř uruchomienie dostępu do dysku twardego ofiary poprzez FTP
Ř odtworzenie pliku dźwiękowego (format WAV)
Ř wykonywanie podstawowych operacji dyskowych na komputerze ofiary
Ř modyfikacja pliku autoexec.bat
Ř uruchamianie aplikacji na serwerze
USUNIĘCIE Z SYSTEMU:
· WinCrash jest wykrywany przez markowe programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie.
· Można go usunąć manualnie: WinCrash instaluje się do katalogu systemowego (może ukrywać się pod różnymi nazwami) i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „MsManager” = „nazwa pliku serwera”. Usuwając ten wpis, resetując komputer i kasując znany plik zabezpieczamy się przed zgubnym działaniem trojana.
8. Web EX 1.2
Aplikacja składa się z następujących plików: klienta Web Ex.exe (96 768b) i serwera Task_bar.exe (115 200b). Ponadto do uruchomienia potrzebne są następujące pliki:
MSVBVM50.dll
MSWINSCK.ocx
MSINET.ocx
które nie są domyślnymi plikami systemowymi. Włamywacz będzie musiał się więc zatroszczyć o to, aby wraz z serwerem umieścić je na komputerze ofiary. Ponadto do programu dołączany jest komponent o nazwie Antidote.exe, który służy do trwałego usunięcia serwera z systemu. Web EX nie jest więc programem przeznaczonym dla „profesjonalnych włamywaczy”, ale raczej eksperymentalnym projektem jego twórcy (o nicku: pc). GUI programu jest łudząco podobne do wcześniejszych wersji NetBusa. Sam program oferuje też niewiele funkcji (głównie mających za zadanie zwrócić uwagę użytkownika na to, że coś nie tak jest z jego systemem). Najciekawszym pomysłem jest zintegrowanie trojana ze stroną internetową jego twórcy - oferuje ona stały serwis podając listę dostępnych w sieci zarażonych komputerów:
Ř wyświetlenie okna dialogowego z komunikatem na serwerze
Ř uruchamianie strony internetowej na serwerze
Ř uruchamianie dowolnej aplikacji
Ř otwieranie, zamykanie CD-ROM-u
Ř wyświetlenie listy aktywnych aplikacji
Ř zapełnienie ekranu ofiary tekstem
Ř rysowanie okręgów wokół kursora myszy
Ř zresetowanie komputera ofiary
Ř zamiana przycisków myszy
Ř wyświetlenie informacji o systemie ofiary
Ř powiadamianie wszystkich chętnych na stronie internetowej autora (http://www.cates.mcmail.com/webex) o obecności w Internecie każdego użytkownika z zainstalowanym koniem trojańskim (sic!)
Ř powiadamianie włamywacza poprzez email o obecności w Internecie ofiary
Ř „Podsłuchiwanie” ofiary - przesyłanie ciągu wystukiwanych na serwerze znaków
Ř wyświetlenie listy adresów IP zarażonych komputerów tworzonej na stronie internetowej autora konia trojańskiego
USUNIĘCIE Z SYSTEMU:
· Web EX nie jest wykrywany przez programy antywirusowe
· Nie ma także na razie aplikacji wykrywających jego działanie.
· Można usunąć go manualnie: WE pozostawia po sobie wpis „RunDl32” = „C:windowssystem ask_bar” (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku: C:WINDOWSSYSTEMTASK_BAR.EXE.
9. EXECUTER 1
Executer to prosta aplikacja klient-serwer. Napisana została przez mało komu znanego człowieka o nicku Lavar. Podobnie jak jej poprzedniczki, składa się z 2 części: serwera [domyślnie: Exec.exe (249 334b)] oraz wyglądającego nietypowo (podobnie jak BO) klienta [domyślnie: Controller.exe (340 992b)]. Dużo trudności użytkownikowi sprawić może wykrycie serwera, który przydziela sobie wolne porty, zmieniając ich wartość za każdym połączeniem W równie nietypowy sposób odbywa się sterowanie aplikacją - opcje wybiera się przemieszczając je z okienka komend (gdzie wyszczególniono wszystkie) do okienka komend przeznaczonych do uruchomienia (uruchomić można jedną lub kilka komend na raz ustalając odstęp czasu. Możliwe jest również „zapętlenie” wykonywanych komend). Na szczęście trojan ma rzucającą się w oczy ikonę: żółto-czerwony napis: „SeEK”. EXECUTER to koń trojański mający głównie na celu utrudnić życie ofiary - stąd wiele funkcji destrukcyjnych:
Ř //DestroyDblClick - wyłączenie podwójnego kliknięcia
Ř //DestroyDesktopColors - zmiana kolorów systemowych na żółty
Ř //DestroyDesktopColors2 - zmiana kolorów systemowych na czarny
Ř //DestroyDesktopColors3 - zmiana kolorów systemowych na niebieski
Ř //DestroyDesktopColors4 - zmiana kolorów systemowych na czerwony
Ř //Disconnect - wyłączenie aplikacji serwera
Ř //DestroyCtrlAltDel - wyłączenie kombinacji klawiszy: CTRL+ALT+DEL
Ř //DestroyCursorPos - ustawienie kursora myszy w pozycji 0,0
Ř //DestroyTrayWnd - ukrycie paska zadań
Ř //DestroyWindows - zresetowanie komputera ofiary
Ř //RestoreDblClick - włączenie podwójnego kliknięcia
Ř //RestoreCtrlAltDel - włączenie kombinacji klawiszy: CTRL+ALT+DEL
Ř //RestoreTrayWnd - przywrócenie paska zadań
Ř //CopyProgramToWindowsDir -skopiowanie serwera do katalogu C:Windows
Ř //AddProgramToStartup - dodanie serwera do Autostartu
Ř //DeleteLogo.Sys - skasowanie C:Logo.sys
Ř //DeleteWin.Com - skasowanie C:WindowsWin.com
Ř //DeleteIo.Sys - skasowanie C:IO.sys
Ř //DeleteSystem.Ini - skasowanie C:WindowsSystem.ini
Ř //DeleteWin.Ini - skasowanie C:WindowsWin.ini
Ř //DeleteConfig.Sys - skasowanie C:Config.sys
Ř //DeleteAutoexec.Bat - skasowanie C:Autoexec.bat
Ř //DeleteCommand.Com - skasowanie C:Command.com
Ř //DeleteRegedit.Exe - skasowanie Regedit.exe
Ř //DeleteTaskman.Exe - skasowanie Taskman.exe
Ř //EnableScreenPaint - włączenie wyświetlania na ekranie ciągu: ('DIE!!! DIE!!! DIE!!!')
Ř //DisableScreenPaint - wyłączenie wyświetlania na ekranie ciągu: ('DIE!!! DIE!!! DIE!!!')
Ř //EnableBeeping - włączenie generowania dźwięków na PC Speakerze
Ř //DisableBeeping - wyłączenie generowania dźwięków na PC Speakerze
W rzeczywistości jest to program bardzo powolny i nieudolny - nie został wyposażony w opcję samodzielnej instalacji na komputerze ofiary. Włamywacz musi dokonać tego manualnie: skopiować serwer na komputer ofiary i dodać go do Autostartu (ułatwieniem dla niego obecność takich funkcji w trojanie), dokonać tego może dopiero po uruchomieniu na komputerze ofiary serwera.
USUNIĘCIE Z SYSTEMU:
· Executer nie jest wykrywany przez programy antywirusowe
· Nie ma także na razie aplikacji wykrywających jego działanie
· Można go usunąć manualnie: koń trojański instaluje się do katalogu Windows jako: Sexec.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „<> EXECUTOR 1” = „C:WindowsSExec.exe”. Usuwając ten wpis, resetując komputer i kasując znany plik usuwamy go na trwałe z systemu.
10. GirlFriend 1.3
Stworzony przez General Failure, koń trojański składa się z dwóch nieodłącznych składników: serwera [nazwanego przez twórców GirlFriend, domyślnie: Windll.exe (331 264b)] oraz klienta [BoyFriend: gf.exe (425 984b)]. Jego funkcje nie są rozbudowane, a on sam służy głównie do wykradania haseł systemowych i wyświetlania komunikatów. Oprócz zdobywania, hasła może wykasować - pod tym względem jest niebezpieczny (zwłaszcza jeśli ofiara ma hasła dostępu do Internetu inne niż „ppp” lub nie pamięta haseł pocztowych w MS OUTLOOK). Ciekawostką jest również kopiowanie odkrytych w systemie haseł do Rejestru Systemowego do klucza: „HKEY_LOCAL_MACHINESoftwareMicrosoftGeneral”. Program oznacza zdobyte hasła lub pola tekstowe we wpisach kolejnymi liczbami, np.: „1”=”Połączenie Dial-up___ppp”.
Ř „Show Passes” - wyświetla listę haseł dostępnych na komputerze ofiary (np. hasła dostępu do Internetu) oraz wszelkich aktywnych pól tekstowych (w tym również zakodowanych ciągiem gwiazdek: *******)
Ř „Send Message” - wyświetlenie na ekranie ofiary okienka dialogowego. Możliwe jest wybranie jednego spośród pięciu rodzajów komunikatów: ostrzeżenia, informacji, błędu, zapytania, zwykłego oraz przetestowanie komunikatu na komputerze włamywacza
Ř „Reset Password List” - kasuje wszystkie hasła systemowe na serwerze
Ř „Custom” - wysłanie jednej z komend do serwera:
§ TEST? - wysyła do serwera pytanie: „Are you alive?”. Jeśli serwer działa odpowie: „Server is alive!”
§ ver - wyświetla wersję serwera
§ KillHER - „zabija” serwer (usuwa serwer z rejestru, ale nie kasuje pliku windll.exe)
§ {U} - uruchamia na serwerze zadaną stronę internetową (adres zaczyna się od: „http://”)
§ {S} - odgrywa plik dźwiękowy (format WAV)
§ {P} - wyświetla plik graficzny (format BMP)
§ DOWN - wyłącza szukanie haseł na serwerze
§ UP - włącza szukanie haseł na serwerze
§ setport - ustawia nowy port
USUNIĘCIE Z SYSTEMU:
· GirlFriend jest wykrywany przez markowe programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie
· Można go usunąć manualnie: koń trojański instaluje się do katalogu Windows jako: Windll.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „Windll.exe” = „C:WindowsWindll.exe”. Usuwając ten wpis, resetując komputer i kasując znany plik usuwamy go na trwałe z systemu.
11. MILLENIUM 1.0
Millenium to milenijny prezent od programisty o nicku DaTa-SuRgE. Tradycyjnie program składa się z dwóch części: niezwykle małego serwera [o wiele mówiącej nazwie SPY: domyślnie plik nazywa się server.exe (48 128b)] oraz klienta [client.exe (164 352b)]. Cechą charakterystyczną serwera jest nietypowa ikona (szara dyskietka z czarno-zieloną etykietą). Dostępne funkcje to:
Ř Zresetowanie, wylogowanie, zamknięcie, uruchomienie w trybie MS-DOS, odłączenie od sieci komputera ofiary
Ř Zamknięcie, uruchomienie, usunięcie serwera
Ř Otwarcie, zamknięcie CD-ROM-u
Ř Włączenie, wyłączenie kombinacji: Ctrl+Alt+Del, Caps Lock, Number Lock
Ř Przejęcie kontroli nad myszką i kursorem ofiary
Ř Podstawowe operacje dyskowe
Ř Przekierunkowanie danych
USUNIĘCIE Z SYSTEMU:
· Millenium nie jest wykrywany przez markowe programy antywirusowe
· Wykrywany jest przez program Millenium Remove
· Można go usunąć manualnie: koń trojański instaluje się do katalogu systemowego Windows jako: reg66.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „Millenium” = „C:windowssystem
eg66.exe”. Jest również jedynym koniem trojańskim, który pozostawia wpis w pliku C:WINDOWSwin.ini w sekcji [windows]: „run=C:windowssystem
eg66.exe”. Usuwając te dwa wpisy, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
12. NetSpy
NetSpy to jedno z najbardziej przebiegłych narzędzi. Jego twórcą jest firma sXi Software. Jest idealnym przykładem konia trojańskiego: wersja dystrybucyjna składa się z aplikacji będącej niczym innym jak programem instalacyjnym o bezpiecznie brzmiącej nazwie SysProtect 98. Niestety zamiast programu instaluje się nam w katalogu C:PROGRAM FILESSYSPROTECT nic poza ... programem deinstalującym aplikację. Tymczasem na naszym dysku pojawia się serwer konia trojańskiego [w katalogu C:WINDOWSSYSTEM jako plik system.exe (312 320b) z ikoną przedstawiającą czterokolorowe okienko Windows z napisem Microsoft Windows. Nic bardziej złudnego...]. Do komunikacji z serwerem służy klient o nazwie: SP_CLIENT.EXE (388 608b). Całość współpracuje z Windowsem 95, 98 i NT. Dostępne funkcje:
Ř apps - pokazuje listę aktywnych aplikacji
Ř cd - zmienia katalog
Ř closedown - zamyka system
Ř dir - lista plików i podkatalogów
Ř getdir - wyświetla obecny katalog
Ř help - podaje wszystkie komendy
Ř login - loguje się do serwera i podaje informacje o jego nazwie, czasie, katalogu Windows
Ř logout - wylogowuje się z serwera
Ř msg | - wyświetla okienko dialogowe
Ř nostart - chowa przycisk START
Ř notask - chowa pasek zadań
Ř shutdown - resetuje Windows
Ř sleep - zwalnia działanie serwera na 10 sekund
Ř start - pokazuje przycisk START
Ř task - pokazuje pasek zadań
Ř type wyświetla zawartość pliku tekstowego
Ř sysinfo - wyświetla informacje o systemie ofiary
Ř win uruchamia komendę DOSową / WINDOWSową
USUNIĘCIE Z SYSTEMU:
· NetSpy nie jest wykrywany przez programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie
· Należy wystrzegać się programu instalacyjnego o nazwie SysProtect 98
· Usunięcie manualne: NetSpy instaluje się jako C:WINDOWSSYSTEMsystem.exe. pozostawia też po sobie wpis „SysProtect”=” C:WINDOWSSYSTEMSYSTEM.EXE” w kluczach: HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Usuwając wpisy, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
13. SK Silencer 1.01
Silencer to najnowszy produkt ze stajni The SmithKlan. Jest jednym z najmniejszych koni trojańskich mających własnego klienta. Nazwą domyślną serwera jest server.exe (34 304b), ale można ją zmieniać. Ma on charakterystyczną ikonę - czerwony trójkąt równoboczny z białym wykrzyknikiem wewnątrz. Klient jest dwa razy większy (78 336b) i ma „radioaktywną” ikonę. Program nie jest zbytnio rozbudowany. Jest to również jedyny backdoor ze standardowym GUI - wyglądającym jak większość aplikacji windowsowych. Współpracuje z Windowsem 95 i 98. Dysponuje jedynie kilkoma standardowymi funkcjami, jednak na uwagę zasługuje opcja wykradająca hasła ICQ.
Ř Chat - uruchamia CHATA między serwerem a komputerem włamywacza
Ř Send KeyStrokes - wysyła kombinację klawiszy
Ř ICQPassJack - zdobywa hasła ICQ
Ř Run Application - uruchamia aplikację na serwerze
Ř Send Msg - wyświetla na serwerze okno dialogowe z dowolną informacją
Ř Hide Taskbar - ukrywa pasek zadań
Ř Disable Ctrl-Alt-Del - wyłącza kombinację Ctrl-Alt-Del
Ř Ping Pong Virus - pokazuje na serwerze piłeczkę pingpongową odbijającą się od krawędzi ekranu
Ř Reboot - resetuje komputer ofiary
Ř Run Screensaver - włącza wygaszacz ekranu
Ř Show Shutdown Menu - uruchamia procedurę zamknięcia systemu
USUNIĘCIE Z SYSTEMU:
· SK Silencer jest wykrywany przez markowe programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie
· Usunięcie manualne: SK Silencer nie ma opcji pozwalającej na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedy standardowa procedura, wszystko zależy od jego inwencji). Należy się wystrzegać plików z ikoną i rozmiarem, jak opisane wyżej. Po odkryciu na swoim dysku opisanego serwera należy uruchomić program regedit.exe i znaleźć wpis będący ścieżką do serwera, usunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.
14. StealthSpy
W przeciwieństwie do większości koni trojańskich StealthSpy nie jest anonimowy. Jego twórcą jest człowiek o miłym dla słowiańskiego ucha nazwisku - Andrei Birjukov. I chociaż programy rosyjskich twórców należą do czołówki najlepszych, to jednak ten pozostawia trochę do życzenia (chociaż sam autor zastrzega, że jest to dopiero wersja BETA 3). Rzeczywiście, niżej podpisany zdobył wersję roboczą, w której istnieje wiele „białych plam”, a użycie niektórych opcji kończy wykonywanie programu poprzez jego wyłączenie. Nieobce są również komentarze odautorskie pokazywane przez aplikację zamiast oczekiwanych funkcji. Mimo tych niedociągnięć należy spodziewać się kolejnego, ale na szczęście niezbyt groźnego, konia trojańskiego. W wersji BETA 3 składa się on z następujących plików: serwera o nazwie telserv.exe (235 520b), biblioteki tserv.dll, pliku wsadowego doscmd.bat odpowiedzialnego za wykonywanie komend dosowych, klienta telman.exe (137 216b), który wymaga biblioteki MSVBVM50.DLL oraz pliku MSWINSCK.OCX. Koń trojański ma następujące (ubogie) funkcje:
Ř screenshot (zrzut ekranu)
Ř menedżer plików (kopiowanie plików na i z serwera)
Ř uruchamianie komend dosowych
Ř zamykanie aplikacji
Ř wyświetlanie na serwerze okienka dialogowego
Ř zresetowanie komputera ofiary
USUNIĘCIE Z SYSTEMU:
· StealthSpy nie jest wykrywany przez programy antywirusowe
· Nie ma na razie także aplikacji wykrywających jego działanie
· Usunięcie manualne: StealthSpy nie ma opcji pozwalającej na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedy standardowa procedura, wszystko zależy od jego inwencji). Jest to jedyny koń trojański, którego serwer jest widoczny po wciśnięciu kombinacji klawiszy: CTRL+ALT+DEL (rysunek). Po odkryciu na swoim dysku opisanego serwera należy uruchomić program regedit.exe i znaleźć wpis (jeśli wpis istnieje) będący ścieżką do serwera, usunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.
15. Telecommando v1.5.4
Napisany przez osobę o nicku Night Navigator koń trojański jest bardzo dziwnym, ale nie można powiedzieć, że oryginalnym, programem. Po pierwsze: aby wykonać dowolną funkcję, należy wziąć na siebie całą odpowiedzialność za jej działanie - stąd idące w nieskończoność akceptowanie komunikatu : „I Agree”. Po drugie: program wyłącza kombinację klawiszy: Ctrl+Esc i Alt+Ctrl+Del. Trzecim „pomysłem” autora jest zablokowanie komend przed połączeniem się z serwerem, z którym [domyślnie nazywa się teleserv.exe (211 456b), ale może przyjmować dowolną nazwę] można się komunikować na dwa sposoby: albo wypisując komendy, albo wybierając je z listy, podając przy tym niezbędne parametry:
Ř Dialog Boxes - wyświetla okno dialogowe z tekstem
Ř Get Logical Drives - wyświetla listę dysków logicznych
Ř Hide/Show the Start Button - chowa, pokazuje przycisk START
Ř Hide/Show the Taskbar - chowa, pokazuje pasek zadań
Ř Hide/Show Desktop - chowa, pokazuje pulpit
Ř Shutdown Server - usuwa serwer w danej sesji Windows
Ř Uninstall Server - odinstalowuje serwer
Ř Password Status - powiadamia o zmianie haseł przez ofiarę podczas sesji serwera
Ř Password Change - zmienia hasło
Ř Password Delete - usuwa hasło
Ř Execute Normal - uruchamia program jako widoczny dla ofiary
Ř Execute Minimized - uruchamia program jako zminimalizowany
Ř Execute Maximized - uruchamia program jako zmaksymalizowany
Ř Execute Hidden - uruchamia program jako niewidoczny dla ofiary
Ř List 32bit Process - wyświetla listę 32-bitowych aplikacji
Ř Kill 32bit Process - zabija 32-bitowy proces
Ř Get Users Name - wyświetla nazwę użytkownika
Ř Get Computers Name - wyświetla nazwę serwera
Ř Get Users Date & Time - wyświetla datę i czas z serwera
Ř Logoff User - wylogowuje ofiarę
Ř Reboot User - resetuje komputer ofiary
Ř Shutdown User - zamyka komputer ofiary
Ř Change Dir - zmienia katalog na podany w linii komend
Ř Make Dir - tworzy katalog
Ř Remove Dir - kasuje katalog
Ř Delete File - kasuje plik
Ř List Files - wyświetla listę plików w katalogu
Ř Get Current Directory - wyświetla nazwę obecnego katalogu
Ř Misc - dzieli ekran na części, które później miesza ze sobą
Ř Star On/Off - podobne do gwiezdnego wygaszacza
USUNIĘCIE Z SYSTEMU:
· Telecommando nie jest wykrywany przez programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie
· Usunięcie manualne: Telecommando instaluje się jako C:WINDOWSSYSTEMODBC.EXE. Pozostawia też po sobie wpis „SystemApp”=” ODBC.EXE” w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
16. GateCrasher 1.1
GC jest narzędziem napisanym w całości w języku Visual Basic. Znani są dwaj twórcy trojana, którzy ukrywają się pod pseudonimami: KillBoy i ExCon. Jest też jedynym koniem trojańskim, który może infekować komputer ofiary na dwa sposoby: klasycznie jako aplikacja lub dostarczany jest jako dokument MS Word (w wersji 97) z makrem. Będąc podłączonym do Internetu lub pracując w sieci lokalnej użytkownik jest narażony na kontakt z aplikacją, która przejmuje kontrolę nad takimi platformami, jak: Windows 95, 98 i NT. Zarażony dokument można o trzymać na wiele sposobów. Może być: dołączany do listu email, powszechny na IRC i w CHAT ROOMach, wykorzystywać „dziury” w popularnych przeglądarkach internetowych. Domyślnie instaluje się na porcie 6969, ale może korzystać z każdego innego.
W skład programu wchodzą następujące pliki:
TCP.exe - plik wspomagający TCP/IP (nic nie robi)
Port.dat - plik z danymi serwera, może przybrać nazwę Port.exe lub Port.doc w zależności od sposobu instalacji na komputerze ofiary
GC.exe - klient
Cleaner.exe - program usuwający serwer z systemu
MsWinsck.ocx - kontrolka Winsock ActiveX używana do komunikacji przez protokół TCP/IP pomiędzy serwerem a klientem
MSVBVM60.DLL - biblioteka Visual Basic 6.0 Enterprise
Inet.drv - Agent wykrywający połączenie - otwiera serwer
Dostępne opcje:
Ř Clear Recent Folder - kasuje folder RECENT (z ostatnio uruchomionymi dokumentami)
Ř Close CD - zamyka CD-ROM
Ř Close The Server - zamyka serwer
Ř Close Windows - zamyka sesję Windows
Ř Crazy Mouse Start- przejmuje kontrolę nad myszką użytkownika
Ř Crazy Mouse Stop - przywraca kontrolę nad myszką użytkownika
Ř Delete Directory - kasuje katalog
Ř Delete File - kasuje plik
Ř Fill Drive - zapełnia dysk tworząc na nim pliki
Ř Format Drive - formatuje dysk
Ř Get Active Windows - wyświetla listę aktywnych aplikacji
Ř Get Computer Name - wyświetla nazwę komputera ofiary
Ř Get Disk Serial # - wyświetla informację o numerze seryjnym dysku twardego ofiary
Ř Get Free Space - wyświetla informację o ilości wolnego miejsca na dysku
Ř Get HD Letter - wyświetla literę dysku lokalnego
Ř Get ICQ UIN - wyświetla numer ICQ
Ř Get Local Time - wyświetla obecny czas na serwerze
Ř Get Organization - wyświetla informację o organizacji właściciela Windows
Ř Get OS - wyświetla informację o wersji Windows
Ř Get Owner - wyświetla informację o właścicielu Windows
Ř Get Server Path - wyświetla ścieżkę gdzie znajduje się serwer
Ř Get System Directory - wyświetla nazwę katalogu systemowego
Ř Get Temp Directory - wyświetla nazwę katalogu tymczasowego
Ř Get User - wyświetla nazwę aktualnego użytkownika
Ř Get Windows Directory - wyświetla nazwę katalogu Windows
Ř Hide Mouse - ukrywa kursor myszki
Ř Hide Task Bar - ukrywa pasek zadań
Ř Kill Window - zamyka aplikację
Ř List File in Directory - wyświetla listę plików w katalogu
Ř Log Off - wylogowuje ofiarę
Ř Make Directory - tworzy katalog na serwerze
Ř Open CD - otwiera CD-ROM
Ř Open Control Panel - otwiera Panel Sterowania
Ř Open Date/Time - otwiera Właściwości Daty/Godziny
Ř Open FTP Server - otwiera na porcie 6970 serwer FTP, daje włamywaczowi możliwość: wyświetlania zawartości katalogu, odczytywania, zapisywania, kasowania plików, tworzenia, kasowania katalogów.
Ř Open Webbrowser - uruchamia stronę internetową w domyślnej przeglądarce
Ř PING! - wysyła pakiet danych na serwer
Ř Read from Drive A: - odczytuje stację dysków na serwerze
Ř Reboot Computer - resetuje komputer
Ř Search For File - szuka pliku na komputerze ofiary
Ř Send Message - wysyła komunikat
Ř Send Text - wysyła tekst do aktywnego na serwerze okienka tekstowego
Ř Set Computer Name - zmienia nazwę komputera użytkownika
Ř Set VolumeLabel For C - ustawia etykietę dysku C:
Ř Show Mouse - pokazuje kursor myszki
Ř Show Task Bar - pokazuje pasek zadań
Ř ShutDown - resetuje komputer
Ř Start Program - uruchamia program na komputerze ofiary
Ř Start Screen Saver - uruchamia wygaszacz ekranu
Ř Switch Window - zmienia dane okno na aktywne
USUNIĘCIE Z SYSTEMU:
· GateCrasher nie jest wykrywany przez programy antywirusowe
· Aplikacją wykrywającą jego działanie jest BOClean 2.01 oraz GateCleaner
· Usunięcie manualne: GateCrasher instaluje się jako C:WINDOWSEXPLORE.EXE. Pozostawia też po sobie wpis „Explore”=” EXPLORE.EXE” w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
17. phAse zero 1.0
Twórcą phAse'a jest Njord z grupy Kr0me Corp. Podobnie jak większość koni trojańskich, tak i ten jest przeznaczony na platformy 32-bitowe (a więc będzie działał zarówno pod Windowsem 98, jak i 98 oraz NT). Trojan ma kilka przydatnych włamywaczowi funkcji, np. ma wbudowanego klienta FTP (przeznaczonego do wykonywania operacji dyskowych na komputerze ofiary), możliwość dokonywania zmian w Rejestrze Systemowym ofiary, tzw. IP maskę, czyli dopuszczanie do połączenia się z serwerem osób mających mniej lub bardziej ściśle określony adres IP (np. zawężając kolejno od najmniej określonego: 128.1, 128.12, 128.12.1, 128.12.13, 128.12.13.1), możliwość konfiguracji: wpisu w rejestrze, nazwy pliku i portu serwera poprzez program instalacyjny. Dużym utrudnieniem w manualnym wykryciu zainstalowanego do systemu konia trojańskiego jest jego zmienna wielkość. Domyślnie instaluje się on na porcie 555. Dostępne funkcje:
Ř ftp upload - zgrywa pliki na komputer ofiary
Ř ftp download - ściąga pliki z komputera ofiary
Ř execute - uruchamia aplikację na serwerze (widoczną lub nie dla użytkownika)
Ř change directory - zmienia katalog
Ř list directory - wyświetla listę katalogów
Ř create directory - tworzy katalog
Ř remove directory - usuwa , zmienia nazwę katalogu
Ř show current dir
Ř copy file - kopiuje plik
Ř move file - przenosi plik
Ř rename file - zmienia nazwę pliku
Ř delete file - kasuje plik
Ř type file - wyświetla zawartość pliku tekstowego
Ř hex type file - wyświetla zawartość pliku binarnego
Ř show dialog box - pokazuje okienko dialogowe z tekstem na serwerze
Ř lockup server - blokuje serwer
Ř reg create key - tworzy klucz w rejestrze systemowym
Ř reg delete key - kasuje klucz w rejestrze systemowym
Ř reg delete value - kasuje wpis w rejestrze
Ř reg check key - sprawdza istnienie klucza lub wpisu
Ř reg set current key - ustawia dany klucz jako otwarty
Ř reg read key value - odczytuje dany wpis w kluczu
Ř reg write key value - tworzy wpis w kluczu
Ř reg list keys - wypisuje dostępne podklucze w otwartym kluczu
Ř reg list values - wypisuje dostępne wpisy w otwartym kluczu
Ř terminate session - kończy sesję serwera
Ř unload server - kończy sesję serwera i odinstalowuje serwer
USUNIĘCIE Z SYSTEMU:
· phAse zero jest wykrywany przez markowe programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie.
· Usunięcie manualne: phAse zero instaluje się jako C:WINDOWSEXPLORE.EXE. Pozostawia też po sobie wpis w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
NAJCZĘŚCIEJ UŻYWANE PRZEZ KONIE TROJAŃSKIE PORTY:
Ř 31 - Master's Paradise
Ř 555 - StealthSpy, phAse
Ř 1001 - Web EX
Ř 1025 - NetSpy
Ř 1981 - Bowl
Ř 1999 - Backdoor 2
Ř 5000 - Sockets de Troie
Ř 6969 - GateCrasher
Ř 12345 - NetBus
Ř 12346 - NetBus
Ř 21554 - GirlFriend
Ř 31337 - BO, T5Port
Ř 33333 - Prosiak
Ř 40421 - Master's Paradise
Ř 40426 - Master's Paradise
Ř 44444 - Prosiak