|
Trojany
OPIS NAJPOPULARNIEJSZYCH KONI TROJAŃSKICH
Przedstawiam opisy 20 najpospolitszych koni trojańskich (wraz
z różnymi ich wersjami) na które natknąć może się użytkownik.
Zdaję sobie sprawę z tego, iż nie są to wszystkie backdoory,
jakie się pojawiły w sieciach komputerowych, jednakże opisane
zostały te z nich, które są najpopularniejsze. Programy zostały
podzielone na dwie kategorie:
· Aplikacje nie mające GUI, a więc takie, których klientem
jest program Telnet
· Aplikacje z własnym GUI, składające się z dwóch części:
instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym
na komputerze włamywacza
APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ TELNET:
1. T5Port 1.0
Mały (18 432B) koń trojański, autorem którego jest bliżej nie
znany osobnik o nicku (icta). Najprostszy z trojanów w swojej
kategorii, jeden z pierwszych. Nie ma żadnego programu
instalacyjnego czy też konfiguracyjnego. Zajmuje port 31337 na
komputerze ofiary. Połączenie odbywa się poprzez program służący
do łączenia się z terminalem, np. Telnet przez wybieranie w menu
Połącz opcję System Zdalny i wpisaniu w Nazwie Hosta adres IP
atakowanego komputera, a w Porcie wartość 31337. Po nawiązaniu
łączności wpisujemy domyślne hasło, którego zmienić nie można.
Jest nim kojarzące się jednoznacznie słowo „satan”.
Uruchomiony na komputerze ofiary aktywny jest tylko przez czas
trwania sesji Windows. Aby się w nim zagnieździć, potrzebny jest
ręczny wpis do Rejestru Systemowego. Oznacza to, iż łatwo go
dezaktywować, ale znacznie trudniej wykryć w systemie (włamywacz
może nadać mu taką nazwę, jaka tylko mu przyjdzie na myśl).
Jest on niezbyt rozbudowany, o czym świadczą komendy podobne do
tych, które znamy z systemu MS-DOS:
exec ... – uruchamia aplikację na komputerze ofiary
cmd ... – uruchamia komendę systemową
annoy – wyświetla komunikat o błędzie
shutdown – resetuje komputer ofiary
exit – zamyka sesję
die – „zabicie” sesji serwera (usunięcie go z
pamięci)
help – wyświetlenie pomocy
USUNIĘCIE Z SYSTEMU:
T5Port nie jest wykrywany przez programy antywirusowe. Należy usunąć
go manualnie:
· Sprawdź za pomocą skanera portów, czy jest otwarty port
31337 (uwaga: ten port jest również używany przez Back
Orifice’a). Jeśli jest, wówczas musisz sprawdzić, jakie są
uruchomione procesy w obecnej sesji Windows (opisane wyżej w dziale
USUWANIE RĘCZNE). Ustal, jak nazywa się potencjalny trojan (nie
jest możliwe dokładne ustalenie nazwy – każdy z
uruchomionych programów może być backdoorem). Jeśli znasz już
nazwę pliku, to poszukaj go na twoich dyskach lokalnych i porównaj
z podanym wyżej rozmiarem. Jeśli będzie pasował – masz
90-cio % szansę, że jest to trojan (jeśli nie – to nim nie
jest lub jest to inna wersja). Następnie uruchom Edytor Rejestru
(pamiętaj o sporządzeniu kopii plików systemowych) i znajdź
klucz o nazwie takiej jak nazwa pliku (powinien być w:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN lub
~\RUNONCE, lub ~\RUNSERVICES itp.). Skasuj klucz będący nazwą
ustalonego pliku. Jeśli w katalogach RUN, RUNONCE, RUNSERVICES,
itp. nie ma takiej nazwy, to masz ułatwione zadanie – trojan
nie jest zapisany do Rejestru i wystarczy zresetować Windows, aby
zginął śmiercią naturalną.
· Zresetuj system
· Po ponownym uruchomieniu odszukaj backdoora na twoim dysku
lokalnym i usuń go do kosza – jeśli system skasuje go, to
pozbyłeś się trojana. W przeciwnym wypadku poinformuje ciebie, że
„podany plik jest używany przez system Windows”. Trzeba
więc znowu wrócić do pierwszego kroku i zlokalizować trojana
(przywracając skasowany plik i pliki rejestru z uprzednio
stworzonego katalogu zapasowego)
2. BOWL 1.0
Autorem programu jest osoba o niewiele mówiącym nicku: !brainwat.
Program składa się z dwóch plików: głównego o nazwie bowl.exe
(38 912b) i pomocniczego służącego do konfiguracji o nazwie
config.exe (15 360b). Konfiguracja polega na ustawieniu hasła
serwera (domyślnym hasłem jest allnewbowl) i zainstalowaniu go w
systemie. Komunikacja z serwerem odbywa się poprzez program służący
do łączenia się z terminalem, np. Telnet wybierając w menu Połącz
opcję System Zdalny i wpisując w Nazwie Hosta adres IP atakowanego
komputera, a w Porcie wartość 1981. Po nawiązaniu łączności
wpisujemy skonfigurowane wcześniej hasło. Po tym zabiegu powinien
w naszym oknie telnetowym pokazać się serwer Bowla, który poda
konfigurację systemu ofiary. W przypadku błędnego hasła połączenie
zostanie zerwane. Komendy wydawane są na wzór MS DOSa. Dostępne
polecenia to:
beep – generuje sygnał dźwiękowy
cat - wyświetlenie zawartości plików
cd/chdir - przechodzenie między katalogami
clear – wyczyszczenie ekranu
cmd[v] – uruchamia niewidzialnego dla ofiary command.com-a
[Tryb MS-DOS]
cmdr – uruchomienie programu i wypisanie rezultatu po jego
zakończeniu (przerwanie – klawisz ESC)
del/rm – usunięcie pliku/plików
die – „zabicie” sesji serwera (usunięcie go z
pamięci)
dir/ls – wyświetlenie istniejących katalogów
errormsg – wyświetla komunikat o błędzie
exec[v] - uruchamia program niewidzialny dla ofiary [widzialny]
freeze – zawiesza system ofiary
get – ściągnięcie pliku z komputera ofiary (włamywacz
uruchamia u siebie przeglądarkę internetową i wpisuje adres:
http://IP.ofiary:1982/nazwa_pliku)
graphoff – wyłącza tryb graficzny
kill – „zabija” aktywny proces
md/mkdir – stworzenie katalogu
passwd – wypisuje hasła: MS Internet Mail, Netscape Navigator
oraz zasobów sieciowych
ps – lista aktywnych procesów (nazwa procesu | numer procesu
| ścieżka dostępu programu)
quit – zamknięcie klienta
rd/rmdir – usunięcie pustych katalogów
shutdown – resetowanie komputera ofiary
swapmouse – zamiana klawiszy myszki
telnet – łączenie się telnetem z innym hostem
vied – prosty edytor tekstu (do 1024 linii i 256 znaków na każdą)
USUNIĘCIE Z SYSTEMU:
Bowl nie jest wykrywany przez programy antywirusowe. Należy usunąć
go manualnie:
· usuń z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices wpis: „NetworkPopup”
· zresetuj system
· usuń plik C:\WINDOWS\netpopup.exe
· zobacz, czy na twoim dysku nie ma pliku bowl.exe
3. ACID SHIVER
AS to potężne narzędzie służące nie tylko do przejmowania
kontroli nad czyimś komputerem, ale również do generowania konia
trojańskiego, który zostanie uruchomiony na komputerze ofiary.
Pakiet składa się z dwóch części: aplikacji konfiguracyjnej
[domyślnie nazywa się: ACiD Setup.exe (14 336b)] oraz serwera
[domyślnie: AciDShivers.exe (186 368b)]. Za pomocą pierwszej włamywacz
tworzy dowolnie nazywający się plik, w skład którego wchodzą:
serwer oraz takie dane, jak: serwer SMTP (służący do przesyłania
poczty) i adres emailowy włamywacza. Aplikacja ma ikonę łudząco
przypominającą programy instalacyjne dystrybuowane przez Microsoft.
Backdoor wyróżnia się na tle innych: aplikacja próbuje w każdej
sesji Windows połączyć się ze skonfigurowanym przez włamywacza
serwerem pocztowym i wysłać na podany przez niego adres informację
o posiadanym przez ofiarę numerze IP oraz porcie, przez który możliwa
będzie komunikacja (port ten zmienia się za każdym razem!). Na
nic więc się przyda w sieci lokalnej nie osiadającej własnego
serwera pocztowego. Na dodatek AS to projekt otwarty: udostępniany
jest wraz z kodem źródłowym i każdy użytkownik-programista może
dodać coś od siebie. Na szczęście AS wykrywany jest przez większość
markowych programów antywirusowych. Serwer potrzebuje do działania
następujące pliki: MSvbvm50.dll oraz MSwinsck.ocx. Autor zetknął
się z następującymi komendami (AS szybko ewoluuje w Internecie):
Help (komenda) – pomoc (szczegółowa)
BEEP <#> - generuje #-razy dźwięk
BOUNCE - przekierunkowanie połączenia na dany host i port
CAT - wyświetla zawartość pliku
CD - zmiana katalogu
CLS – czyszczenie ekranu
CMD - uruchamia komendę
COPY - kopiuje plik1 na plik2
DATE – pokazuje datę
DEL - skasowanie pliku
DESK – zmienia na domyślny katalog z zawartością Pulpitu
DIE – wyłącza AS
DIR – wyświetla listę katalogów
DRIVE - podaje informację o napędzie
DRIVES – wyświetla dyski fizyczne, ram-dyski, CD-ROM-y,
sieciowe
ENV – wyświetla zmienne systemowe DOS-a
GET - ściąga z serwera plik
HIDE - schowanie aplikacji o danym (identyfikatorze) widocznej w
menedżerze programów (lista aplikacji pokazująca się po wciśnięciu
kombinacji: CTRL+ALT+DEL)
INFO – pokazuje informację o komputerze ofiary i użytkowniku
KILL – „zabicie” aktywnego procesu
LABEL - zmienia etykietę dysku
LS – to samo co DIR
MKDIR - zakłada katalog
NAME - zmienia nazwę komputera ofiary
PORT <#> - zmiana portu AS (dostępny po zresetowaniu serwera)
PS – lista aktywnych procesów
RMDIR - przenosi katalog wraz z podkatalogami i plikami
S – wysyła kombinację klawiszy do aktywnej aplikacji
SH - jw. i pokazuje rezultat
SHOWs - pokazanie aplikacji jw.
SHUTDOWN – resetuje serwer
TIME – pokazuje czas
VERSION – pokazuje numer wersji AS
USUNIĘCIE Z SYSTEMU:
· AS jest wykrywany przez markowe programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie.
· Można usunąć go manualnie: AS pozostawia po sobie wpis
„Explorer” = „C:\WINDOWS\MSGSVR16.EXE”
(serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w
kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run.
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices.
Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i
skasowanie pliku: C:\WINDOWS\MSGSVR16.EXE.
Istnieje również zmieniona przez LEENTech Corporation (Living in
an Evolution of Enhanced Networking Technology) wersja AcidShiver. Różni
się nie tylko wielkością serwera (188 416b), ale również jego
nazwą (tour98.exe) i wpisem „WinTour” = „C:\WINDOWS\WINTOUR.EXE”
w rejestrze (w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run i HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices). Dodano również nowe funkcje:
BCAT lub BGET - wyświetla zawartość pliku binarnego
MACADDR – pokazuje status połączenia ethernetowego
RECENT – kasuje folder RECENT (z ostatnio uruchomionymi
dokumentami)
STATUS – pokazuje status wszystkich używanych od początku
sesji Windows portów
WSFTP – ustawia domyślny folder WS_FTP
Nowy AS nie jest jeszcze wykrywany przez programy antywirusowe
(Autor ma programu Norton AntiVirus z sygnaturą z dnia 26 marca
1999 r., nowa wersja AS testowana była dnia 7 kwietnia 1999 r.).
APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ
KLIENTA:
1. BACK ORIFICE
Stworzony przez Cult of the Dead Cow Communications Back Orifice
jest potężnym narzędziem do administracji komputerem ofiary. Łączy
w sobie cechy wcześniejszych aplikacji (Bowla, T5Porta), udostępniając
konsolę tekstową oraz aplikacji klient-serwer, udostępniając ładny,
niestandardowy interfejs GUI. Aplikacja działa tylko na komputerach
z zainstalowanym systemem: Windows 95 i 98. Instalacja przebiega
szybko i sprawnie: pakiet składa się z kilku plików:
bo.txt – dokumentacja BO (15 184b)
plugin.txt – dokumentacja pluginów BO (914b)
boserve.exe – samoinstalujący się serwer BO (124 928b)
bogui.exe – klient graficzny BO (284 160b)
boclient.exe – klient tekstowy BO (57 856b)
boconfig.exe – konfiguracja BO (28 672b)
melt.exe – dekompresor plików spakowanych programem freeze
(29 184b)
freeze.exe – kompresor plików (33 280b)
Najważniejszą częścią BO jest serwer o nazwie boserve.exe.
Wystarczy uruchomić go kliknięciem lub naciśnięciem klawisza
ENTER, aby zainstalował się „bezszelestnie” w katalogu
systemowym. Aby skonfigurować serwer, należy posłużyć się
programem boconfig.exe, który może również dołączyć się do
innych plików wykonywalnych w ten sam sposób jak to robią wirusy.
Dwa kolejne wykonywalne pliki w pakiecie są używane przez konia
trojańskiego podczas kompresji (freeze) / dekompresji (melt) plików
na komputerze ofiary. Uruchomiony po raz pierwszy serwer BO tworzy
plik windll.dll w katalogu systemowym Windows (plik ten jest zawarty
w kodzie konia trojańskiego), potem wyszukuje aktualnie uruchomione
przez ewentualną poprzednią wersję programu procesy, zakańcza je
i uaktualnia uruchamiając własne, kopiuje sam siebie do katalogu
systemowego Windows (pod nazwą ".exe" i rejestruje się w
rejestrze jako jedna z usług autostartu). Później przydziela
sobie port numer 31337 (identyczny do T5Port) i zaczyna nasłuchiwać
na tym porcie. Komendy można wydawać albo za pomocą aplikacji o
graficznym GUI lub na konsoli tekstowej. Zależnie od wydanego
polecenia trojan może podejmować następujące działania:
App add – uruchamia tekstowe aplikacje gotową do „nasłuchu”
przez port (dostępne później przez np. Telnet)
App del – zatrzymuje wystartowaną wyżej aplikację
Apps list – wyświetla listę uruchomionych wyżej aplikacji
Directory create – tworzy na serwerze katalog
Directory list – wyświetla listę katalogów na serwerze
Directory remove – usuwa katalogi
Export add
Export delete
Exports list
File copy – kopiuje plik/pliki
File delete –kasuje plik/pliki
File find –szuka plik/pliki
File freeze – kompresuje plik/pliki
File melt – dekompresuje plik/pliki
File view – przegląda plik tekstowy
HTTP Disable – wyłącza serwer http
HTTP Enable - włącza serwer http (można uzyskać dostęp do
komputera przez przeglądarkę)
Keylog begin – loguje sekwencję wciskanych przez ofiarę
klawiszy
Keylog end – kończy logowanie
MM Capture avi – przechwytuje obraz video wraz z dźwiękiem z
serwera
MM Capture frame – przechwytuje pojedyncze klatki
MM Capture screen – przechwytuje obraz (screenshot)
MM List capture devices – lista przechwytujących urządzeń
MM Play sound – odtwarza dźwięk na serwerze
Net connections – lista połączeń sieciowych
Net delete – odłącza serwer ofiary od sieci
Net use – przyłącza serwer ofiary do sieci
Net view – wyświetla wszystkie informacje dotyczące sieci
(serwery, udostępnione katalogi/dyski)
Ping host – pinguje serwer
Plugin execute – uruchamia plugin BO
Plugin kill – kończy działanie pluginu BO
Plugins list – wyświetla listę dostępnych pluginów BO
Process kill – kończy proces
Process list - wyświetla listę dostępnych procesów
Process spawn – uruchamia program jako ukryty / widzialny na
serwerze
Redir add - przekierunkowuje zasoby TCP/IP (połączenia)
Redir del – usuwa przekierunkowania zasobów TCP/IP
Redirs list - wyświetla listę dostępnych przekierunkowań zasobów
TCP/IP
Reg create key – tworzy klucz w Rejestrze Systemowym
Reg delete key – kasuje klucz
Reg delete value – kasuje wartość klucza
Reg list keys – wyświetla listę kluczy rejestru
Reg list values – wyświetla wartość klucza
Reg set value – ustawia wartość klucza (binarną, DWORD,
string)
Resolve host – zamienia nazwę domeny na adres IP
System dialogbox – wyświetla okienko dialogowe z komunikatem
i przyciskiem „OK”
System info – wyświetla informacje o serwerze
System lockup – skutecznie zawiesza system
System passwords – podaje hasła systemowe serwera
System reboot – resetuje serwer
TCP/IP file receive – łączy serwer z podanym IP i zapisuje
do pliku ściągnięte dane
TCP/IP file send – łączy serwer z podanym IP i przesyła doń
dane
Koń trojański może rozbudowywać swoje możliwości poprzez
wbudowane plug-iny. Mogą one być wysyłane do "serwera"
i instalowane.
USUNIĘCIE Z SYSTEMU:
· Back Orifice jest wykrywany przez programy antywirusowe. Jeśli
dysponujesz najnowszą sygnaturą wirusów, to problem BO masz z głowy.
Jeśli nie, to będziesz zmuszony ściągnąć ją z Internetu
· Możesz także użyć programów do wykrywania BO. W Sieci
znajdziesz ich całą masę. Najbardziej znane to: Bored 0.2
executable i BoDetect v1.0.2. oraz NOBO.
· Manualnie: uruchom Edytor Rejestru (regedit.exe) i znajdź
klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices.
Usuń wartość o nazwie: (domyślna) „ .exe”. Zresetuj
system. Z katalogu C:\WINDOWS\SYSTEM usuń pliki: .exe (uważaj, bo
w zwykłym menedżerze plików prawie go nie widać – zamiast
ikony jest przerwa. Najlepiej ustawić w menu Widok|Szczegóły,
wówczas obok pustego miejsca będzie jeszcze wyszczególniony
rozmiar pliku i jego rodzaj – Aplikacja) i windll.dll. Twój
system jest od tej pory bezpieczny.
2. DEEP THROAT REMOTE 1.0
Napisany przez The DarkLIGHT Corporation.Deep Throat składa się z
dwóch plików: serwera systempatch.exe (260 971b) oraz klienta
RemoteControl.exe (271 959b). Serwer DTR 1.0 nie jest zabezpieczany
hasłem, dostęp do niego jest więc możliwy z każdego klienta
programu. Aplikacja działa tylko na komputerach z zainstalowanym
systemem: Windows 95 i 98. Wyposażony został w
„podstawowe” funkcje:
Otwieranie i zamykanie CD-ROMu na serwerze
Uruchamianie okienka dialogowego z komunikatem
Chowanie/przywracanie paska startowego Windows
Serwer FTP umożliwiający ściągnięcie dowolnego pliku z
komputera ofiary (aby tego dokonać niezbędny jest klient FTP, np.
Cute FTP lub WS_FTP)
Zrzut ekranu serwera (dzięki temu można zobaczyć aktualny ekran
na serwerze, np. pulpit ofiary)
Otwarcie adresu internetowego na serwerze
Włącza tryb oszczędzania energii, który może być wyłączony
tylko przez włamywacza
W wersji późniejszej niż 1.0 kradnie hasła systemowe
Uruchamia programy na serwerze (widzialne lub nie dla użytkownika)
Resetuje serwer
Skaner obecności serwera DTR na hostach
Pingowanie (przesyłanie pakietu informacji) hosta w celu
sprawdzenia aktywności serwera DTR
Podanie dokładnych informacji o komputerze ofiary
USUNIĘCIE Z SYSTEMU:
· DTR jest wykrywany przez większość znanych programów
antywirusowych
· Jeśli nie masz programu wykrywającego wirusy lub
najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie
lub ściągnąć sygnaturę z Internetu.
· Uruchom Edytor Rejestru i odnajdź klucz o nazwie:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. W
kluczu tym znajdź wpis „SystemDLL32” i zapamiętaj nazwę
skojarzonej z nim aplikacji (powinna się nazywać: „SYSTEMPATCH.EXE”).
Skasuj wpis.
· Zresetuj komputer. Po ponownym uruchomieniu Windows
odszukaj na dysku aplikację i skasuj ją. Twój system jest od tej
pory bezpieczny.
3. MASTER’S PARADISE
W przypadku MP znamy jego twórcę. Jest nim niemiecki programista
Dan Lehman. Podobnie jak jego poprzednicy, MP składa się z dwóch
części. Serwer może być dołączony do praktycznie każdej
aplikacji. W Internecie upowszechnił się poprzez dołączenie do
popularnej gry-parodii o tytule: "Pie Bill Gates"
(rzucanie ciastkiem w B. Gatesa), gdzie zagnieździł się w pliku
GAME.EXE. Uruchamiając na swoim komputerze grę zarażamy jednocześnie
system koniem trojańskim (najczęściej poprzez zainstalowanie gry,
której nielegalna dystrybucja rozpowszechniona jest w
samorozpakowujących się archiwach programu TurboSFX). Aplikacja
działa tylko na komputerach z zainstalowanym systemem: Windows 95 i
98. Program wyposażono w różne funkcje:
Otwieranie/zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach
czasu)
„Podsłuchiwanie” ofiary – przesyłanie ciągu
wystukiwanych na serwerze znaków
Chowanie, pokazywanie i wyłączanie okien aplikacji na serwerze
Generowanie dźwięku wciskanych klawiszy
Nagrywanie dźwięku przez mikrofon ofiary
Nawigacja myszką ofiary (poprzez współrzędne lub manualnie
– sterowanie własną)
Odtworzenie dźwięku na komputerze ofiary
Otwarcie adresu internetowego na serwerze
Przesyłanie dowolnych plików na serwer
Screenshot – zrzut ekranu ofiary
Ściąganie i kasowanie dowolnego pliku na serwerze
Uruchomienie aplikacji na serwerze
Wyłączenie dowolnego klawisza
Wysłanie komunikatu do ofiary.
Wysyłanie tekstu do aktywnej aplikacji.
Wyświetlenie dokładnej informacji o komputerze
Wyświetlenie na ekranie ofiary obrazka.
Zamiana przycisków myszki: prawy na lewy i na odwrót
Zmiana głośności dźwięku
Zresetowanie, wylogowanie ofiary.
USUNIĘCIE Z SYSTEMU:
· MP jest wykrywany przez większość znanych programów
antywirusowych
· Usuwa go także aplikacja wykrywająca Back Orifice’a:
BOClean 2.01
· Jeśli nie masz programu wykrywającego wirusy lub
najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie
lub ściągnąć sygnaturę z Internetu.
· MP instaluje się do systemu poprzez zastąpienie programu
SYSEDIT.EXE swoim serwerem oraz biblioteki KeyHook.DLL znajdującej
się w katalogu Windows lub systemowym (C:\WINDOWS lub C:\WINDOWS\SYSTEM).
O ile odzyskanie tego pierwszego pliku nie sprawia większych trudności
(jest dołączany do każdej dystrybucji programu instalacyjnego
systemu), to z przywróceniem drugiego pliku są już większe
problemy: jest on dołączany do niektórych tylko programów
– trzeba więc znaleźć go w ich wersjach instalacyjnych lub
w Internecie.
· Uruchom Edytor Rejestru i odnajdź klucz o nazwie:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. W
kluczu tym znajdź wpis i zapamiętaj nazwę skojarzonej z nim
aplikacji (powinna się nazywać: „SYSEDIT.EXE”). Skasuj
wpis.
· Zresetuj komputer. Po ponownym uruchomieniu Windows
odszukaj na dysku aplikację i skasuj ją. Skasuj również
bibliotekę KeyHook.DLL. przywróć powyższe pliki z oryginalnych
wersji instalacyjnych. Twój system jest od tej pory bezpieczny.
4. NETBUS 1.60, 1.70, 2.0
Podobnie jak w przypadku wcześniejszego Master’s Paradise
znamy twórcę Netbus’a. Jest nim Carl-Fredrik Neikter. Co
ciekawsze, wersja 2.0 jest programem shareware, który należy
zarejestrować [istnieją 2 rodzaje licencji: na „użytek
domowy” oraz dla firm i organizacji (pojedyncze lub
stanowiskowe)]. Opłata jest związana, jak twierdzi autor, nie z
komercyjną działalnością, ale ze wsparciem jego działań.
Wersja 1.6 składa się z dwóch najważniejszych plików (nie mówiąc
o dokumentacji): serwera o nazwie Patch.exe (472 576b) oraz klienta
– NetBus.exe (567 296b). Wersja 1.7 to pliki o tej samej
nazwie, ale innym rozmiarze: 494 592b (serwer) i 599 552b (klient).
Obie wersje instalują się domyślnie na portach 12345 lub 12346.
Najnowsza wersja rozpowszechniana jest w charakterystycznej dla
znanych programów dystrybucji InstallShield(r) Wizard (rysunek) i
jej serwer zajmuje domyślnie port 20034.
Ustawienia serwera zmienić można programem instalacyjnym (NetBus
2.0 - rysunek) lub po połączeniu się z nim klientem (każdy). W
wersjach wcześniejszych od 2.0 wystarczy tylko uruchomić serwer
(jego nazwa może się dowolnie różnić od patch.exe, można też
stosować parametry: /noadd, /remove, /pass:xxx, /port:xxx), aby stał
się aktywny podczas każdej sesji Windows.
NetBus ma funkcje podobne do wcześniejszych koni trojańskich. Są
to:
Otwieranie, zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach
czasu)
„Podsłuchiwanie” ofiary – przesyłanie ciągu
wystukiwanych na serwerze znaków
Chowanie, pokazywanie i wyłączanie okien aplikacji na serwerze
Generowanie dźwięku wciskanych klawiszy
Nagrywanie dźwięku przez mikrofon ofiary
Nawigacja myszką ofiary (poprzez współrzędne lub manualnie
– sterowanie własną)
Odtworzenie dźwięku na komputerze ofiary (format WAV)
Otwarcie adresu internetowego na serwerze
Powiadamianie emailowe o obecności w sieci ofiary
Przesyłanie dowolnych plików na serwer
Przekierunkowanie danych ze specyficznego portu na podany host i na
odwrót (możliwość sterowania aplikacją ofiary z komputera włamywacza
przez konsolę telnetową)
Screenshot – zrzut ekranu ofiary
Skaner serwerów NetBusa w sieci
Ściąganie i kasowanie dowolnego pliku na serwerze
Uruchomienie aplikacji na serwerze
Wyłączenie dowolnego klawisza
Wysłanie komunikatu do ofiary.
Wysyłanie tekstu do aktywnej aplikacji.
Wyświetlenie dokładnej informacji o komputerze
Wyświetlenie na ekranie ofiary obrazka (w formacie BMP i JPG)
Zamiana przycisków myszki: prawy na lewy i na odwrót
Zmiana głośności dźwięku
Zmiana konfiguracji serwera NetBusa (port, hasło, itp.)
Zresetowanie, wylogowanie ofiary.
W wersji 2.0 dodano:
Zmieniono GUI
Zwiększono wydajność
Zmieniono menedżera plików
Zmieniono menedżera okien
Dodano menedżera Rejestru Systemowego
Dodano menedżera pluginów
Dodano możliwość ściągnięcia filmu z serwera
Dodano możliwość wykradzenia haseł systemowych
Dodano klienta Chatu z innymi użytkownikami NetBusa (sic!)
USUNIĘCIE Z SYSTEMU:
· NetBus jest wykrywany przez większość znanych programów
antywirusowych
· Usuwa go także aplikacja NetBus Remover
· Jeśli nie masz programu wykrywającego wirusy lub
najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie
lub ściągnąć sygnaturę z Internetu.
· Wykrycie NetBusa jest trudne, ponieważ jego serwer może
przyjąć każdą nazwę. Na szczęście można go odkryć w
Rejestrze Systemowym. NetBus pozostawia takie wpisy jak:
HKEY_CURRENT_USER\NETBUS 1.6, HKEY_CURRENT_USER\NETBUS 1.7,
HKEY_CURRENT_USER\NetBus, HKEY_CURRENT_USER\NetBus Server (dwa
ostatnie to wersja 2.0, wtedy wystarczy tylko odszukać klucz
HKEY_CURRENT_USER\NetBus\Transfer, w którym podana jest ścieżka
serwera, usunąć dwa wcześniejsze klucze, zresetować komputer i w
następnej sesji Windows usunąć serwer oraz plik NBHelp.dll). Wcześniejsze
wersje NetBusa trudniej jest wykryć (chyba że włamywacz nie
pofatygował się i nie zmienił nazwy serwera – wówczas jest
nim plik o nazwie Patch.exe). NetBus w wersji 1.6 i 1.7 zostawia
charakterystyczny wpis w Rejestrze: HKEY_CURRENT_USER\nazwa_serwera_w_wersji_1.6_lub_1.7.
Znając nazwę można usunąć konia trojańskiego kasując w
kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
wpis o nazwie takiej, jak nazwa serwera (czyli np. jeśli nasz
serwer nazywa się serwer.exe, to zostawia takie klucze w Rejestrze,
jak: 1. HKEY_CURRENT_USER\SERWER, 2. A w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
wpis: nazwa „SERWER” – dane „ścieżka_dostępu\serwer.exe”.
Wystarczy usunąć te dwa wpisy, zresetować komputer i manualnie
usunąć serwer z dysku, aby pozbyć się ostatecznie NetBusa.
5. PROSIAK 0.47, 1/2
Program o swojsko brzmiącej nazwie Prosiak jest ewenementem, jeśli
chodzi o twórczość polskich programistów (nawet jeśli chodzi o
tak delikatną kwestię, jak włamywanie się do cudzych komputerów).
Jego autorem jest student ukrywający się pod adresem kwikwi@kki.net.pl.
Trojan składa się z dwóch części: serwera PROSIAK.EXE (238 592b
w wersji 0.47, 237 056b w wersji 1/2) oraz klienta PRO_CLI.EXE (211
456b w v. 0.47, 258 048b w v. 1/2). Serwer instaluje się na porcie
33333 (v. 0.47) lub 44444 (v. 1/2). Działa na systemach: Windows 95
i 98. UWAGA ! Jako że Prosiak jest polskim koniem trojańskim, nie
jest jeszcze (kwiecień ’99) wykrywany przez programy
antywirusowe. Usunąć można go jedynie manualnie. W przeciwieństwie
do wcześniejszych koni trojańskich, które powielały pomysły,
Prosiak ma kilka innowacji. Dostępne w wersji 0.47 funkcje to:
zamknięcie, odinstalowanie, zmiana nazwy serwera
zmiana nazwy sieciowej komputera
zmiana nazwy, chowanie, pokazywanie, minimalizowanie,
maksymalizowanie okien oraz „okien-dzieci” (czyli np.
menu aplikacji)
efekty wizualne: skurczenie, wstrząsanie, migotanie, zamiana kolorów
na negatyw, dziurkowanie okien
podstawowe operacje na plikach (kopiowanie, usuwanie, uruchamianie,
tworzenie katalogów, ściąganie, przesyłanie na serwer)
podstawowe informacje o serwerze (nazwa domeny, IP, ścieżki
systemowe)
czytanie, usuwanie, przesyłanie tekstu do schowka
uruchamianie na serwerze strony internetowej
uruchamianie na serwerze domyślnego programu pocztowego z zadanym
adresem emailowym i tematem listu
uruchamianie komend DOS-a
włączenie wygaszacza ekranu, trybu oszczędzania energii, zmiana
kolorów w Windowsie na negatyw (również czasowa)
schowanie/ pokazanie przycisku START, paska zadań (TASKBAR),
Pulpitu
zamiana klawiszy myszki
wyświetlenie okienka dialogowego/ wodzenie za kursorem myszki
komunikatu
wylogowanie, zresetowanie, zamknięcie systemu
pokazanie na ekranie serwera obrazka
odtworzenie na serwerze pliku muzycznego
zrzut ekranu z serwera (niestety bardzo wolny)
efekty wizualne na ekranie: „skaczące pixelki”,
„inwazja mrówek”, „rozmycie”, „znikające
kolory”
W wersji 1/2 dodano:
dokładniejsze informacje o systemie (czas pracy, rozdzielczość,
pamięć fizyczna, długość pinga
skaner sieci (wykrywanie Prosiaka na innych komputerach podłączonych
do sieci)
opcję zawieszenia komputera
możliwość uruchamiania i edycji skryptów
zmiana hasła (domyślnie: prosiak)
wystartowanie serwera proxy (przekierunkowanie aplikacji znane z BO
czy NetBusa)
wystartowanie serwera httpd
konsola wykonywanych przez serwer poleceń
USUNIĘCIE Z SYSTEMU:
· Prosiak nie jest wykrywany przez programy antywirusowe
· Nie ma także na razie aplikacji wykrywających jego działanie
· Wykrycie Prosiaka jest łatwiejsze niż NetBusa, mimo iż
jego serwer również może przyjąć każdą nazwę. W przeciwieństwie
do NetBusa, Prosiak nie zmienia nazwę wpisu w rejestrze (Microsoft
DLL Loader), a pozostawia go w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices.
Domyślnie wpis ma wartość: windll32.exe (w wersji 0.47) lub
vbrun60.exe (w wersji 1/2). Ponadto w wersji 1/2 Prosiak tworzy
klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Rconfig.
Usuwając wpis, resetując komputer i kasując serwer znajdujący się
w katalogu C:\WINDOWS\SYSTEM pozbędziemy się go na dobre.
6. SOCKETS DE TROIE
Jest to drugi (po Prosiaku) program „narodowy” stworzony
w języku innym niż angielski. Powstał w ojczyźnie Napoleona, w
październiku 1998 roku. Napisany w języku Delphi 3, ma rozbudowany
(około 443 kB) rdzeń. Ciekawostką jest to, iż dystrybucja tego
konia trojańskiego obejmuje: aplikacje klient-serwer, dokumentację
oraz kod źródłowy (w przeciwieństwie do innych,
„komercyjnych” aplikacji). Istnieją znane 2 rodzaje
instalacji serwera:
1. Uruchomiony serwer podaje komunikat o brakującej bibliotece
(SETUP32.DLL) instalując się do katalogu systemowego Windows (jako
plik MSCHV32.EXE) i modyfikując zarazem Rejestr Systemowy, aby
uruchamiać się z każdą sesją systemu (pierwszy klucz:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunLoad oraz wpis: „MSchv32 Drv = C:\WINDOWS\SYSTEM\MSchv32.exe”,
drugi klucz: HKEY_CLASSES_ROOT\DirectSockets oraz wpis:
„DirectSocketsCtrl = $A4 D5 #FFF”).
2. Uruchomiony serwer podaje komunikat o brakującej bibliotece
(ISAPI32.DLL) instalując się trzykrotnie: raz do katalogu Windows
(c:\windows\rsrcload.exe), 2 razy do katalogu systemowego (c:\windows\system\mgadeskdll.exe,
c:\windows\system\csmctrl32.exe) i modyfikując zarazem Rejestr
Systemowy: pierwszy klucz: HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunLoad oraz wpis: Mgadeskdll = C:\WINDOWS\SYSTEM\Mgadeskdll.exe
drugi klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunLoad
oraz wpis: Rsrcload = C:\WINDOWS\Rsrcload.exe
trzeci klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServicesLoad
oraz wpis: Csmctrl32 = C:\WINDOWS\SYSTEM\Csmctrl32.exe
USUNIĘCIE Z SYSTEMU:
· Sockets de Troie nie jest wykrywany przez programy
antywirusowe
· Usuwa go Anti-Sockets de Troie
· SdT usunąć można również manualnie – kasując
podane wyżej klucze w Rejestrze Systemowym. Wcześniej należy
zapamiętać ścieżki i nazwy plików, które po ponownym
uruchomieniu Windows trzeba usunąć z systemu. Od tej chwili system
jest bezpieczny.
7. WinCrash 1.03
Kolejny program z dziedziny aplikacji klient-serwer. Stworzony został
przez bliżej nieznany duet programistów: M@niac_Teen &
Terminal Crasher. Konfiguracja serwera [domyślnie Server.exe (296
448b), charakterystyczna ikonka Windows – falujące
czterokolorowe okienko] na komputerze ofiary odbywa się
automatycznie, a sam program nie jest widzialny na pasku zadań czy
też liście aktywnych procesów (uruchamianej kombinacją klawiszy:
CTRL+ALT+DEL). Włamywacz może również dowolnie zmieniać nazwę
pliku serwera. Dostępne funkcje:
otwieranie, zamykanie CD-ROM-u
zapalanie, wygaszanie diod na klawiaturze (CAPS_LOCK i SCROLL_LOCK)
zablokowanie, odblokowanie, zdalne sterowanie kursorem myszy
wyłączenie, włączenie monitora
„zapchanie” drukarki sieciowej
zablokowanie klawiszy systemowych (np. CAPS_LOCK, SCROLL_LOCK)
wyłączenie schowka
włączanie, wyłączanie wygaszacza ekranu
ukrycie lub wyłącznie: paska zadań, przycisku START
usunięcie, zmiana tapety
zmiana czasu i daty systemowej
zamknięcie, odinstalowanie serwera
zamknięcie uruchomionych programów
zamknięcie, zawieszenie, zresetowanie Windows
wyświetlenie okienka dialogowego (CHAT) lub tekstu
pobranie informacji o systemie
zdobycie haseł systemowych
wyświetlenie listy aktywnych procesów
uruchomienie dostępu do dysku twardego ofiary poprzez FTP
odtworzenie pliku dźwiękowego (format WAV)
wykonywanie podstawowych operacji dyskowych na komputerze ofiary
modyfikacja pliku autoexec.bat
uruchamianie aplikacji na serwerze
USUNIĘCIE Z SYSTEMU:
· WinCrash jest wykrywany przez markowe programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie.
· Można go usunąć manualnie: WinCrash instaluje się do
katalogu systemowego (może ukrywać się pod różnymi nazwami) i
zostawia w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
wpis: „MsManager” = „nazwa pliku serwera”.
Usuwając ten wpis, resetując komputer i kasując znany plik
zabezpieczamy się przed zgubnym działaniem trojana.
8. Web EX 1.2
Aplikacja składa się z następujących plików: klienta Web Ex.exe
(96 768b) i serwera Task_bar.exe (115 200b). Ponadto do uruchomienia
potrzebne są następujące pliki:
MSVBVM50.dll
MSWINSCK.ocx
MSINET.ocx
które nie są domyślnymi plikami systemowymi. Włamywacz będzie
musiał się więc zatroszczyć o to, aby wraz z serwerem umieścić
je na komputerze ofiary. Ponadto do programu dołączany jest
komponent o nazwie Antidote.exe, który służy do trwałego usunięcia
serwera z systemu. Web EX nie jest więc programem przeznaczonym dla
„profesjonalnych włamywaczy”, ale raczej
eksperymentalnym projektem jego twórcy (o nicku: pc). GUI programu
jest łudząco podobne do wcześniejszych wersji NetBusa. Sam
program oferuje też niewiele funkcji (głównie mających za
zadanie zwrócić uwagę użytkownika na to, że coś nie tak jest z
jego systemem). Najciekawszym pomysłem jest zintegrowanie trojana
ze stroną internetową jego twórcy – oferuje ona stały
serwis podając listę dostępnych w sieci zarażonych komputerów:
wyświetlenie okna dialogowego z komunikatem na serwerze
uruchamianie strony internetowej na serwerze
uruchamianie dowolnej aplikacji
otwieranie, zamykanie CD-ROM-u
wyświetlenie listy aktywnych aplikacji
zapełnienie ekranu ofiary tekstem
rysowanie okręgów wokół kursora myszy
zresetowanie komputera ofiary
zamiana przycisków myszy
wyświetlenie informacji o systemie ofiary
powiadamianie wszystkich chętnych na stronie internetowej autora ( http://www.cates.mcmail.com/webex
) o obecności w Internecie każdego użytkownika z zainstalowanym
koniem trojańskim (sic!)
powiadamianie włamywacza poprzez email o obecności w Internecie
ofiary
„Podsłuchiwanie” ofiary – przesyłanie ciągu
wystukiwanych na serwerze znaków
wyświetlenie listy adresów IP zarażonych komputerów tworzonej na
stronie internetowej autora konia trojańskiego
USUNIĘCIE Z SYSTEMU:
· Web EX nie jest wykrywany przez programy antywirusowe
· Nie ma także na razie aplikacji wykrywających jego działanie.
· Można usunąć go manualnie: WE pozostawia po sobie wpis
„RunDl32” = „C:\windows\system\task_bar”
(serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w
kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i
skasowanie pliku: C:\WINDOWS\SYSTEM\TASK_BAR.EXE.
9. EXECUTER 1
Executer to prosta aplikacja klient-serwer. Napisana została przez
mało komu znanego człowieka o nicku Lavar. Podobnie jak jej
poprzedniczki, składa się z 2 części: serwera [domyślnie:
Exec.exe (249 334b)] oraz wyglądającego nietypowo (podobnie jak
BO) klienta [domyślnie: Controller.exe (340 992b)]. Dużo trudności
użytkownikowi sprawić może wykrycie serwera, który przydziela
sobie wolne porty, zmieniając ich wartość za każdym połączeniem
W równie nietypowy sposób odbywa się sterowanie aplikacją
– opcje wybiera się przemieszczając je z okienka komend
(gdzie wyszczególniono wszystkie) do okienka komend przeznaczonych
do uruchomienia (uruchomić można jedną lub kilka komend na raz
ustalając odstęp czasu. Możliwe jest również „zapętlenie”
wykonywanych komend). Na szczęście trojan ma rzucającą się w
oczy ikonę: żółto-czerwony napis: „SeEK”. EXECUTER
to koń trojański mający głównie na celu utrudnić życie ofiary
– stąd wiele funkcji destrukcyjnych:
//DestroyDblClick – wyłączenie podwójnego kliknięcia
//DestroyDesktopColors – zmiana kolorów systemowych na żółty
//DestroyDesktopColors2 – zmiana kolorów systemowych na
czarny
//DestroyDesktopColors3 – zmiana kolorów systemowych na
niebieski
//DestroyDesktopColors4 - zmiana kolorów systemowych na czerwony
//Disconnect – wyłączenie aplikacji serwera
//DestroyCtrlAltDel – wyłączenie kombinacji klawiszy:
CTRL+ALT+DEL
//DestroyCursorPos – ustawienie kursora myszy w pozycji 0,0
//DestroyTrayWnd – ukrycie paska zadań
//DestroyWindows – zresetowanie komputera ofiary
//RestoreDblClick – włączenie podwójnego kliknięcia
//RestoreCtrlAltDel – włączenie kombinacji klawiszy:
CTRL+ALT+DEL
//RestoreTrayWnd – przywrócenie paska zadań
//CopyProgramToWindowsDir –skopiowanie serwera do katalogu
C:\Windows\
//AddProgramToStartup – dodanie serwera do Autostartu
//DeleteLogo.Sys – skasowanie C:\Logo.sys
//DeleteWin.Com – skasowanie C:\Windows\Win.com
//DeleteIo.Sys – skasowanie C:\IO.sys
//DeleteSystem.Ini – skasowanie C:\Windows\System.ini
//DeleteWin.Ini – skasowanie C:\Windows\Win.ini
//DeleteConfig.Sys – skasowanie C:\Config.sys
//DeleteAutoexec.Bat – skasowanie C:\Autoexec.bat
//DeleteCommand.Com – skasowanie C:\Command.com
//DeleteRegedit.Exe – skasowanie Regedit.exe
//DeleteTaskman.Exe – skasowanie Taskman.exe
//EnableScreenPaint – włączenie wyświetlania na ekranie ciągu:
('DIE!!! DIE!!! DIE!!!')
//DisableScreenPaint - wyłączenie wyświetlania na ekranie ciągu:
('DIE!!! DIE!!! DIE!!!')
//EnableBeeping - włączenie generowania dźwięków na PC
Speakerze
//DisableBeeping - wyłączenie generowania dźwięków na PC
Speakerze
W rzeczywistości jest to program bardzo powolny i nieudolny –
nie został wyposażony w opcję samodzielnej instalacji na
komputerze ofiary. Włamywacz musi dokonać tego manualnie: skopiować
serwer na komputer ofiary i dodać go do Autostartu (ułatwieniem
dla niego obecność takich funkcji w trojanie), dokonać tego może
dopiero po uruchomieniu na komputerze ofiary serwera.
USUNIĘCIE Z SYSTEMU:
· Executer nie jest wykrywany przez programy antywirusowe
· Nie ma także na razie aplikacji wykrywających jego działanie
· Można go usunąć manualnie: koń trojański instaluje się
do katalogu Windows jako: Sexec.exe i zostawia w kluczu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
wpis: „<> EXECUTOR 1” = „C:\Windows\SExec.exe”.
Usuwając ten wpis, resetując komputer i kasując znany plik
usuwamy go na trwałe z systemu.
10. GirlFriend 1.3
Stworzony przez General Failure, koń trojański składa się z dwóch
nieodłącznych składników: serwera [nazwanego przez twórców
GirlFriend, domyślnie: Windll.exe (331 264b)] oraz klienta [BoyFriend:
gf.exe (425 984b)]. Jego funkcje nie są rozbudowane, a on sam służy
głównie do wykradania haseł systemowych i wyświetlania komunikatów.
Oprócz zdobywania, hasła może wykasować – pod tym względem
jest niebezpieczny (zwłaszcza jeśli ofiara ma hasła dostępu do
Internetu inne niż „ppp” lub nie pamięta haseł
pocztowych w MS OUTLOOK). Ciekawostką jest również kopiowanie
odkrytych w systemie haseł do Rejestru Systemowego do klucza:
„HKEY_LOCAL_MACHINE\Software\Microsoft\General”. Program
oznacza zdobyte hasła lub pola tekstowe we wpisach kolejnymi
liczbami, np.: „1”=”Połączenie Dial-up___ppp”.
„Show Passes” – wyświetla listę haseł dostępnych
na komputerze ofiary (np. hasła dostępu do Internetu) oraz
wszelkich aktywnych pól tekstowych (w tym również zakodowanych ciągiem
gwiazdek: *******)
„Send Message” – wyświetlenie na ekranie ofiary
okienka dialogowego. Możliwe jest wybranie jednego spośród pięciu
rodzajów komunikatów: ostrzeżenia, informacji, błędu,
zapytania, zwykłego oraz przetestowanie komunikatu na komputerze włamywacza
„Reset Password List” – kasuje wszystkie hasła
systemowe na serwerze
„Custom” – wysłanie jednej z komend do serwera:
§ TEST? - wysyła do serwera pytanie: „Are you alive?”.
Jeśli serwer działa odpowie: „Server is alive!”
§ ver – wyświetla wersję serwera
§ KillHER – „zabija” serwer (usuwa serwer z
rejestru, ale nie kasuje pliku windll.exe)
§ {U} - uruchamia na serwerze zadaną stronę internetową (adres
zaczyna się od: „http://”)
§ {S} - odgrywa plik dźwiękowy (format WAV)
§ {P} - wyświetla plik graficzny (format BMP)
§ DOWN – wyłącza szukanie haseł na serwerze
§ UP – włącza szukanie haseł na serwerze
§ setport - ustawia nowy port
USUNIĘCIE Z SYSTEMU:
· GirlFriend jest wykrywany przez markowe programy
antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie
· Można go usunąć manualnie: koń trojański instaluje się
do katalogu Windows jako: Windll.exe i zostawia w kluczu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
wpis: „Windll.exe” = „C:\Windows\Windll.exe”.
Usuwając ten wpis, resetując komputer i kasując znany plik
usuwamy go na trwałe z systemu.
11. MILLENIUM 1.0
Millenium to milenijny prezent od programisty o nicku DaTa-SuRgE.
Tradycyjnie program składa się z dwóch części: niezwykle małego
serwera [o wiele mówiącej nazwie SPY: domyślnie plik nazywa się
server.exe (48 128b)] oraz klienta [client.exe (164 352b)]. Cechą
charakterystyczną serwera jest nietypowa ikona (szara dyskietka z
czarno-zieloną etykietą). Dostępne funkcje to:
Zresetowanie, wylogowanie, zamknięcie, uruchomienie w trybie MS-DOS,
odłączenie od sieci komputera ofiary
Zamknięcie, uruchomienie, usunięcie serwera
Otwarcie, zamknięcie CD-ROM-u
Włączenie, wyłączenie kombinacji: Ctrl+Alt+Del, Caps Lock,
Number Lock
Przejęcie kontroli nad myszką i kursorem ofiary
Podstawowe operacje dyskowe
Przekierunkowanie danych
USUNIĘCIE Z SYSTEMU:
· Millenium nie jest wykrywany przez markowe programy
antywirusowe
· Wykrywany jest przez program Millenium Remove
· Można go usunąć manualnie: koń trojański instaluje się
do katalogu systemowego Windows jako: reg66.exe i zostawia w kluczu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
wpis: „Millenium” = „C:\windows\system\reg66.exe”.
Jest również jedynym koniem trojańskim, który pozostawia wpis w
pliku C:\WINDOWS\win.ini w sekcji [windows]: „run=C:\windows\system\reg66.exe”.
Usuwając te dwa wpisy, resetując komputer i kasując plik usuwamy
go na trwałe z systemu.
12. NetSpy
NetSpy to jedno z najbardziej przebiegłych narzędzi. Jego twórcą
jest firma sXi Software. Jest idealnym przykładem konia trojańskiego:
wersja dystrybucyjna składa się z aplikacji będącej niczym innym
jak programem instalacyjnym o bezpiecznie brzmiącej nazwie
SysProtect 98. Niestety zamiast programu instaluje się nam w
katalogu C:\PROGRAM FILES\SYSPROTECT nic poza ... programem
deinstalującym aplikację. Tymczasem na naszym dysku pojawia się
serwer konia trojańskiego [w katalogu C:\WINDOWS\SYSTEM jako plik
system.exe (312 320b) z ikoną przedstawiającą czterokolorowe
okienko Windows z napisem Microsoft Windows. Nic bardziej złudnego...].
Do komunikacji z serwerem służy klient o nazwie: SP_CLIENT.EXE
(388 608b). Całość współpracuje z Windowsem 95, 98 i NT. Dostępne
funkcje:
apps – pokazuje listę aktywnych aplikacji
cd - zmienia katalog
closedown – zamyka system
dir – lista plików i podkatalogów
getdir – wyświetla obecny katalog
help – podaje wszystkie komendy
login – loguje się do serwera i podaje informacje o jego
nazwie, czasie, katalogu Windows
logout – wylogowuje się z serwera
msg | - wyświetla okienko dialogowe
nostart – chowa przycisk START
notask – chowa pasek zadań
shutdown – resetuje Windows
sleep – zwalnia działanie serwera na 10 sekund
start – pokazuje przycisk START
task – pokazuje pasek zadań
type wyświetla zawartość pliku tekstowego
sysinfo – wyświetla informacje o systemie ofiary
win uruchamia komendę DOSową / WINDOWSową
USUNIĘCIE Z SYSTEMU:
· NetSpy nie jest wykrywany przez programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie
· Należy wystrzegać się programu instalacyjnego o nazwie
SysProtect 98
· Usunięcie manualne: NetSpy instaluje się jako
C:\WINDOWS\SYSTEM\system.exe. pozostawia też po sobie wpis
„SysProtect”=” C:\WINDOWS\SYSTEM\SYSTEM.EXE”
w kluczach:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Usuwając wpisy, resetując komputer i kasując plik usuwamy go na
trwałe z systemu.
13. SK Silencer 1.01
Silencer to najnowszy produkt ze stajni The SmithKlan. Jest jednym z
najmniejszych koni trojańskich mających własnego klienta. Nazwą
domyślną serwera jest server.exe (34 304b), ale można ją zmieniać.
Ma on charakterystyczną ikonę – czerwony trójkąt równoboczny
z białym wykrzyknikiem wewnątrz. Klient jest dwa razy większy (78
336b) i ma „radioaktywną” ikonę. Program nie jest
zbytnio rozbudowany. Jest to również jedyny backdoor ze
standardowym GUI – wyglądającym jak większość aplikacji
windowsowych. Współpracuje z Windowsem 95 i 98. Dysponuje jedynie
kilkoma standardowymi funkcjami, jednak na uwagę zasługuje opcja
wykradająca hasła ICQ.
Chat – uruchamia CHATA między serwerem a komputerem włamywacza
Send KeyStrokes – wysyła kombinację klawiszy
ICQPassJack – zdobywa hasła ICQ
Run Application – uruchamia aplikację na serwerze
Send Msg – wyświetla na serwerze okno dialogowe z dowolną
informacją
Hide Taskbar – ukrywa pasek zadań
Disable Ctrl-Alt-Del – wyłącza kombinację Ctrl-Alt-Del
Ping Pong Virus – pokazuje na serwerze piłeczkę pingpongową
odbijającą się od krawędzi ekranu
Reboot – resetuje komputer ofiary
Run Screensaver – włącza wygaszacz ekranu
Show Shutdown Menu – uruchamia procedurę zamknięcia systemu
USUNIĘCIE Z SYSTEMU:
· SK Silencer jest wykrywany przez markowe programy
antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie
· Usunięcie manualne: SK Silencer nie ma opcji pozwalającej
na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc
dokonać tego ręcznie (nie istnieje wtedy standardowa procedura,
wszystko zależy od jego inwencji). Należy się wystrzegać plików
z ikoną i rozmiarem, jak opisane wyżej. Po odkryciu na swoim dysku
opisanego serwera należy uruchomić program regedit.exe i znaleźć
wpis będący ścieżką do serwera, usunąć go, zresetować
komputer i wykasować z dysku konia trojańskiego.
14. StealthSpy
W przeciwieństwie do większości koni trojańskich StealthSpy nie
jest anonimowy. Jego twórcą jest człowiek o miłym dla słowiańskiego
ucha nazwisku – Andrei Birjukov. I chociaż programy
rosyjskich twórców należą do czołówki najlepszych, to jednak
ten pozostawia trochę do życzenia (chociaż sam autor zastrzega,
że jest to dopiero wersja BETA 3). Rzeczywiście, niżej podpisany
zdobył wersję roboczą, w której istnieje wiele „białych
plam”, a użycie niektórych opcji kończy wykonywanie
programu poprzez jego wyłączenie. Nieobce są również komentarze
odautorskie pokazywane przez aplikację zamiast oczekiwanych
funkcji. Mimo tych niedociągnięć należy spodziewać się
kolejnego, ale na szczęście niezbyt groźnego, konia trojańskiego.
W wersji BETA 3 składa się on z następujących plików: serwera o
nazwie telserv.exe (235 520b), biblioteki tserv.dll, pliku wsadowego
doscmd.bat odpowiedzialnego za wykonywanie komend dosowych, klienta
telman.exe (137 216b), który wymaga biblioteki MSVBVM50.DLL oraz
pliku MSWINSCK.OCX. Koń trojański ma następujące (ubogie)
funkcje:
screenshot (zrzut ekranu)
menedżer plików (kopiowanie plików na i z serwera)
uruchamianie komend dosowych
zamykanie aplikacji
wyświetlanie na serwerze okienka dialogowego
zresetowanie komputera ofiary
USUNIĘCIE Z SYSTEMU:
· StealthSpy nie jest wykrywany przez programy antywirusowe
· Nie ma na razie także aplikacji wykrywających jego działanie
· Usunięcie manualne: StealthSpy nie ma opcji pozwalającej
na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc
dokonać tego ręcznie (nie istnieje wtedy standardowa procedura,
wszystko zależy od jego inwencji). Jest to jedyny koń trojański,
którego serwer jest widoczny po wciśnięciu kombinacji klawiszy:
CTRL+ALT+DEL (rysunek). Po odkryciu na swoim dysku opisanego serwera
należy uruchomić program regedit.exe i znaleźć wpis (jeśli wpis
istnieje) będący ścieżką do serwera, usunąć go, zresetować
komputer i wykasować z dysku konia trojańskiego.
15. Telecommando v1.5.4
Napisany przez osobę o nicku Night Navigator koń trojański jest
bardzo dziwnym, ale nie można powiedzieć, że oryginalnym,
programem. Po pierwsze: aby wykonać dowolną funkcję, należy wziąć
na siebie całą odpowiedzialność za jej działanie – stąd
idące w nieskończoność akceptowanie komunikatu : „I
Agree”. Po drugie: program wyłącza kombinację klawiszy:
Ctrl+Esc i Alt+Ctrl+Del. Trzecim „pomysłem” autora jest
zablokowanie komend przed połączeniem się z serwerem, z którym
[domyślnie nazywa się teleserv.exe (211 456b), ale może przyjmować
dowolną nazwę] można się komunikować na dwa sposoby: albo
wypisując komendy, albo wybierając je z listy, podając przy tym
niezbędne parametry:
Dialog Boxes – wyświetla okno dialogowe z tekstem
Get Logical Drives – wyświetla listę dysków logicznych
Hide/Show the Start Button – chowa, pokazuje przycisk START
Hide/Show the Taskbar – chowa, pokazuje pasek zadań
Hide/Show Desktop – chowa, pokazuje pulpit
Shutdown Server – usuwa serwer w danej sesji Windows
Uninstall Server – odinstalowuje serwer
Password Status – powiadamia o zmianie haseł przez ofiarę
podczas sesji serwera
Password Change – zmienia hasło
Password Delete – usuwa hasło
Execute Normal – uruchamia program jako widoczny dla ofiary
Execute Minimized – uruchamia program jako zminimalizowany
Execute Maximized - uruchamia program jako zmaksymalizowany
Execute Hidden – uruchamia program jako niewidoczny dla ofiary
List 32bit Process – wyświetla listę 32-bitowych aplikacji
Kill 32bit Process – zabija 32-bitowy proces
Get Users Name – wyświetla nazwę użytkownika
Get Computers Name – wyświetla nazwę serwera
Get Users Date & Time – wyświetla datę i czas z serwera
Logoff User – wylogowuje ofiarę
Reboot User – resetuje komputer ofiary
Shutdown User – zamyka komputer ofiary
Change Dir – zmienia katalog na podany w linii komend
Make Dir – tworzy katalog
Remove Dir – kasuje katalog
Delete File – kasuje plik
List Files – wyświetla listę plików w katalogu
Get Current Directory – wyświetla nazwę obecnego katalogu
Misc – dzieli ekran na części, które później miesza ze
sobą
Star On/Off – podobne do gwiezdnego wygaszacza
USUNIĘCIE Z SYSTEMU:
· Telecommando nie jest wykrywany przez programy antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie
· Usunięcie manualne: Telecommando instaluje się jako
C:\WINDOWS\SYSTEM\ODBC.EXE. Pozostawia też po sobie wpis
„SystemApp”=” ODBC.EXE” w kluczu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Usuwając wpis, resetując komputer i kasując plik usuwamy go na
trwałe z systemu.
16. GateCrasher 1.1
GC jest narzędziem napisanym w całości w języku Visual Basic.
Znani są dwaj twórcy trojana, którzy ukrywają się pod
pseudonimami: KillBoy i ExCon. Jest też jedynym koniem trojańskim,
który może infekować komputer ofiary na dwa sposoby: klasycznie
jako aplikacja lub dostarczany jest jako dokument MS Word (w wersji
97) z makrem. Będąc podłączonym do Internetu lub pracując w
sieci lokalnej użytkownik jest narażony na kontakt z aplikacją,
która przejmuje kontrolę nad takimi platformami, jak: Windows 95,
98 i NT. Zarażony dokument można o trzymać na wiele sposobów. Może
być: dołączany do listu email, powszechny na IRC i w CHAT
ROOMach, wykorzystywać „dziury” w popularnych przeglądarkach
internetowych. Domyślnie instaluje się na porcie 6969, ale może
korzystać z każdego innego.
W skład programu wchodzą następujące pliki:
TCP.exe – plik wspomagający TCP/IP (nic nie robi)
Port.dat – plik z danymi serwera, może przybrać nazwę
Port.exe lub Port.doc w zależności od sposobu instalacji na
komputerze ofiary
GC.exe – klient
Cleaner.exe – program usuwający serwer z systemu
MsWinsck.ocx – kontrolka Winsock ActiveX używana do
komunikacji przez protokół TCP/IP pomiędzy serwerem a klientem
MSVBVM60.DLL – biblioteka Visual Basic 6.0 Enterprise
Inet.drv – Agent wykrywający połączenie - otwiera serwer
Dostępne opcje:
Clear Recent Folder – kasuje folder RECENT (z ostatnio
uruchomionymi dokumentami)
Close CD – zamyka CD-ROM
Close The Server – zamyka serwer
Close Windows – zamyka sesję Windows
Crazy Mouse Start– przejmuje kontrolę nad myszką użytkownika
Crazy Mouse Stop – przywraca kontrolę nad myszką użytkownika
Delete Directory – kasuje katalog
Delete File – kasuje plik
Fill Drive – zapełnia dysk tworząc na nim pliki
Format Drive – formatuje dysk
Get Active Windows – wyświetla listę aktywnych aplikacji
Get Computer Name – wyświetla nazwę komputera ofiary
Get Disk Serial # - wyświetla informację o numerze seryjnym dysku
twardego ofiary
Get Free Space – wyświetla informację o ilości wolnego
miejsca na dysku
Get HD Letter - wyświetla literę dysku lokalnego
Get ICQ UIN – wyświetla numer ICQ
Get Local Time – wyświetla obecny czas na serwerze
Get Organization – wyświetla informację o organizacji właściciela
Windows
Get OS - wyświetla informację o wersji Windows
Get Owner – wyświetla informację o właścicielu Windows
Get Server Path - wyświetla ścieżkę gdzie znajduje się serwer
Get System Directory - wyświetla nazwę katalogu systemowego
Get Temp Directory - wyświetla nazwę katalogu tymczasowego
Get User - wyświetla nazwę aktualnego użytkownika
Get Windows Directory – wyświetla nazwę katalogu Windows
Hide Mouse – ukrywa kursor myszki
Hide Task Bar – ukrywa pasek zadań
Kill Window – zamyka aplikację
List File in Directory – wyświetla listę plików w katalogu
Log Off – wylogowuje ofiarę
Make Directory – tworzy katalog na serwerze
Open CD – otwiera CD-ROM
Open Control Panel – otwiera Panel Sterowania
Open Date/Time – otwiera Właściwości Daty/Godziny
Open FTP Server – otwiera na porcie 6970 serwer FTP, daje włamywaczowi
możliwość: wyświetlania zawartości katalogu, odczytywania,
zapisywania, kasowania plików, tworzenia, kasowania katalogów.
Open Webbrowser – uruchamia stronę internetową w domyślnej
przeglądarce
PING! – wysyła pakiet danych na serwer
Read from Drive A: - odczytuje stację dysków na serwerze
Reboot Computer – resetuje komputer
Search For File – szuka pliku na komputerze ofiary
Send Message – wysyła komunikat
Send Text – wysyła tekst do aktywnego na serwerze okienka
tekstowego
Set Computer Name – zmienia nazwę komputera użytkownika
Set VolumeLabel For C – ustawia etykietę dysku C:
Show Mouse – pokazuje kursor myszki
Show Task Bar – pokazuje pasek zadań
ShutDown – resetuje komputer
Start Program – uruchamia program na komputerze ofiary
Start Screen Saver – uruchamia wygaszacz ekranu
Switch Window – zmienia dane okno na aktywne
USUNIĘCIE Z SYSTEMU:
· GateCrasher nie jest wykrywany przez programy antywirusowe
· Aplikacją wykrywającą jego działanie jest BOClean 2.01
oraz GateCleaner
· Usunięcie manualne: GateCrasher instaluje się jako
C:\WINDOWS\EXPLORE.EXE. Pozostawia też po sobie wpis
„Explore”=” EXPLORE.EXE” w kluczu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Usuwając wpis, resetując komputer i kasując plik usuwamy go na
trwałe z systemu.
17. phAse zero 1.0
Twórcą phAse’a jest Njord z grupy Kr0me Corp. Podobnie jak
większość koni trojańskich, tak i ten jest przeznaczony na
platformy 32-bitowe (a więc będzie działał zarówno pod
Windowsem 98, jak i 98 oraz NT). Trojan ma kilka przydatnych włamywaczowi
funkcji, np. ma wbudowanego klienta FTP (przeznaczonego do
wykonywania operacji dyskowych na komputerze ofiary), możliwość
dokonywania zmian w Rejestrze Systemowym ofiary, tzw. IP maskę,
czyli dopuszczanie do połączenia się z serwerem osób mających
mniej lub bardziej ściśle określony adres IP (np. zawężając
kolejno od najmniej określonego: 128.1, 128.12, 128.12.1,
128.12.13, 128.12.13.1), możliwość konfiguracji: wpisu w
rejestrze, nazwy pliku i portu serwera poprzez program instalacyjny.
Dużym utrudnieniem w manualnym wykryciu zainstalowanego do systemu
konia trojańskiego jest jego zmienna wielkość. Domyślnie
instaluje się on na porcie 555. Dostępne funkcje:
ftp upload – zgrywa pliki na komputer ofiary
ftp download – ściąga pliki z komputera ofiary
execute – uruchamia aplikację na serwerze (widoczną lub nie
dla użytkownika)
change directory – zmienia katalog
list directory – wyświetla listę katalogów
create directory – tworzy katalog
remove directory – usuwa , zmienia nazwę katalogu
show current dir
copy file – kopiuje plik
move file – przenosi plik
rename file – zmienia nazwę pliku
delete file – kasuje plik
type file – wyświetla zawartość pliku tekstowego
hex type file – wyświetla zawartość pliku binarnego
show dialog box – pokazuje okienko dialogowe z tekstem na
serwerze
lockup server – blokuje serwer
reg create key – tworzy klucz w rejestrze systemowym
reg delete key – kasuje klucz w rejestrze systemowym
reg delete value – kasuje wpis w rejestrze
reg check key – sprawdza istnienie klucza lub wpisu
reg set current key – ustawia dany klucz jako otwarty
reg read key value – odczytuje dany wpis w kluczu
reg write key value – tworzy wpis w kluczu
reg list keys – wypisuje dostępne podklucze w otwartym kluczu
reg list values – wypisuje dostępne wpisy w otwartym kluczu
terminate session – kończy sesję serwera
unload server – kończy sesję serwera i odinstalowuje serwer
USUNIĘCIE Z SYSTEMU:
· phAse zero jest wykrywany przez markowe programy
antywirusowe
· Nie ma na razie aplikacji wykrywających jego działanie.
· Usunięcie manualne: phAse zero instaluje się jako
C:\WINDOWS\EXPLORE.EXE. Pozostawia też po sobie wpis w kluczu:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Usuwając wpis, resetując komputer i kasując plik usuwamy go na
trwałe z systemu.
NAJCZĘŚCIEJ UŻYWANE PRZEZ KONIE TROJAŃSKIE PORTY:
31 – Master’s Paradise
555 – StealthSpy, phAse
1001 – Web EX
1025 – NetSpy
1981 – Bowl
1999 – Backdoor 2
5000 – Sockets de Troie
6969 – GateCrasher
12345 – NetBus
12346 – NetBus
21554 – GirlFriend
31337 – BO, T5Port
33333 – Prosiak
40421 – Master’s Paradise
40426 – Master’s Paradise
44444 – Prosiak
P.S. Jeżeli artykuł jest za długi to można go podzielić na
kilka krótszych (?)
JaroChwat
jarochwat@go2.pl
|
|