|
Trojany sa to programy dzieki ktorym nie uprawnione osoby maja dostep do naszego komputera. Co oznacza, ze maja dostep do naszych dyskow. Taka osoba moze z nimi robic doslownie wszystko od przegladania plikow a skonczywszy na sformatowaniu dysku. Niektore trojany maja wbudowane specjalne funkcje:
przejecie myszy uzytkownika, zamkniecie aktywnych programow, restart komputera, zawieszanie systemu.
Trojany w wiekszosci składaja sie z dwoch czesci - SERWERA i KLIENTA. Serwer jest to program ktory trzeba podrzucic ofierze. Instaluje sie on w pamieci. Potem kopjuje sie w bezpieczne miejsce i modyfikuje rejestr tak aby uruchamial sie przy kazdym uruchomieniu komputera. Klient jest to ta czesc trojana, ktora sluzy do wydawania polecen serwerowi.
Sposoby wykrywania
Istnieje wiele sposobow wykrywania trojanow. Wiekszosc programow antywirusowych robi to automatycznie. Sa tez programy przeznaczone specjalnie do unieszkodliwiania i wykrywania trojanow. Mozemy tez wykryc trojana recznie. Nalezy uruchmic tryb MS-DOS w okienku i wpisac komende netstat -a . Dzieki temu mozemy sprawdzic liste aktywnych portow. Trojany maja to do siebie ze zazwyczaj instaluja sie na tych samych portach ale zawsze trzeba sprawdzic wszystkie podejrzane porty. Teraz wystarczy porownac liste aktywnych portów z lista portow na ktorych instaluja sie trojany.
Na przyklad jezeli bedziemy mieli aktywny port 4444 to znaczy ze mamy prosiaka.
Zeby pozbyc sie trojana nalezy usunac go z rejestru najczesciej sa one w :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Radzilbym tez sprawdzic czy mamy wlasciwego netstat'a bo slyszalem o ludziach ktorzy zamieniaja netstata wlasnym programem i wszystko wyglada w porzadku. Dlatego nalezy uruchomic program z innym parametrem niz -a np. ?r lub innymi. Jezeli za kazdym razem mamy to samo na monitorze to z pewnoscia mamy podmienionego netstata. Nalezy ten program pobrac z naszego serwisu, z wincd lub zreinstalowac system.
Jezeli nie chcemy modyfikowac rejestru to musimy znalezc trojana w katalogu windows lub temp i usunac go recznie przez klawisz "delete" Jezeli nie mozemy znalezc trojana to dobrym rozwiazaniem moze okazac sie reinstalacja Windowsa. W najgorszym wypadku mozemy posunac się do sformatowania dysku twardego (metoda na 100% skuteczna). :-) Na otrzymanie trojana najbardziej narazeni jestesmy na IRC?u ICQ i przez e-maila. Aby nie dostac trojana nalezay nie instalowac ani uruchamiac zadnych plików wykonywalnych. (brac mozemy ) tz. Z roszezeniem *.exe *.bat *.com .Jezeli uruchomimy jakis program nieznanego pochodzenia i nic sie nie stanie lub wyskoczy jakis smieszny blad to znaczy ze w 99% procentach mamy trojana. Przy uruchamianiu komputera pojawia się maly rozmazany prostokat który jest widoczny przez nie cala sekunde. Tak jest w przypadku prosiaka.
Lista portow na ktorych moga wystepowac trojany:
21 Blade Runner, Doly Trojan, Fore, Ftp trojan, Invisible FTP, Larva, WebEx, WinCrash 23 Tiny Telnet Server 25 Antigen, Email Password Sender, Haebu Coceda, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras Terminator, WinPC, WinSpy 31 Agent 31, Hackers Paradise, Masters Paradise 41 DeepThroat 58 DMSetup 79 Firehotcker 80 Executor 110 ProMail trojan 121 Jammer Killah 421 TCP Wrappers 456 Hackers Paradise 531 Rasmin 555 Ini-Killer, Phase Zero, Stealth Spy 666 Attack FTP, Satanz Backdoor 911 Dark Shadow 999 DeepThroat 1001 Silencer, WebEx 1011 Doly Trojan 1012 Doly Trojan 1024 NetSpy 1045 Rasmin 1090 Xtreme 1170 Psyber Stream Server, Voice 1234 Ultors Trojan 1245 VooDoo Doll 1349 (UDP) BO DLL 1492 FTP99CMP 1600 Shivka-Burka 1807 SpySender 1981 Shockrave 1999 BackDoor 2001 Trojan Cow 2023 Ripper 2115 Bugs 2140 Deep Throat, The Invasor 2565 Striker 2583 WinCrash 2801 Phineas Phucker 3024 WinCrash 3129 Masters Paradise 3150 Deep Throat, The Invasor 3700 Portal of Doom 4092 WinCrash 4567 File Nail 4590 ICQTrojan 5000 Bubbel, Back Door Setup, Sockets de Troie 5001 Back Door Setup, Sockets de Troie 5321 Firehotcker 5400 Blade Runner 5401 Blade Runner 5402 Blade Runner 5555 ServeMe 5556 BO Facil 5557 BO Facil 5569 Robo-Hack 5742 WinCrash 6400 The Thing 6670 DeepThroat 6671 DeepThroat 6776 BackDoor-G, SubSeven 6939 Indoctrination 6969 GateCrasher, Priority 7000 Remote Grab 7300 NetMonitor 7301 NetMonitor 7306 NetMonitor 7307 NetMonitor 7308 NetMonitor 7789 Back Door Setup, ICKiller 9872 Portal of Doom 9873 Portal of Doom 9874 Portal of Doom 9875 Portal of Doom 9989 iNi-Killer 10067 Portal of Doom 10167 Portal of Doom 10520 Acid Shivers 10607 Coma 11000 Senna Spy 11223 Progenic trojan 12223 Hack´99 KeyLogger 12345 GabanBus, NetBus, Pie Bill Gates, X-bill 12346 GabanBus, NetBus, X-bill 12361 Whack-a-mole 12362 Whack-a-mole 12631 WhackJob 13000 Senna Spy 16969 Priority 20001 Millennium 20034 NetBus 2 Pro 21544 GirlFriend 22222 Prosiak 23456 Evil FTP, Ugly FTP 23476 Donald Dick 26274(UDP) Delta Source 29891(UDP) The Unexplained 30029 AOL Trojan 30100 NetSphere 30101 NetSphere 30102 NetSphere 30303 Sockets de Troie 31337 Baron Night, BO client, BO2, Bo Facil 31337(UDP) BackFire, Back Orifice, DeepBO 31338 NetSpy DK 31338(UDP) Back Orifice, DeepBO 31339 NetSpy DK 31666 BOWhack 31785 Hack'a'Tack 31787 Hack'a'Tack 33333 Prosiak 34324 BigGluck, TN 40412 The Spy 40421 Agent 40421, Masters Paradise 40422 Masters Paradise 40423 Masters Paradise 40426 Masters Paradise 44444 Prosiak 47262(UDP) Delta Source 50505 Sockets de Troie 50766 Fore 53001 Remote Windows Shutdown 54321 Schol Bus 60000 Deep Throat 61466 Telecommando 65000 Devil
ftp://ftp.hacking.pl/windows/antytrojany/ ftp://ftp.hacking.pl/windows/trojany/ |
|