TROJANY, czΩ╢µ 1/5 OPIS NAJPOPULARNIEJSZYCH KONI TROJA╤SKICHPrzedstawiam opisy 20 najpospolitszych koni troja±skich (wraz z r≤┐nymi ich wersjami), na kt≤re natkn▒µ mo┐e siΩ u┐ytkownik. ZdajΩ sobie sprawΩ z tego, i┐ nie s▒ to wszystkie backdoory, jakie siΩ pojawi│y w sieciach komputerowych, jednak┐e opisane zosta│y te z nich, kt≤re s▒ najpopularniejsze. Programy zosta│y podzielone na dwie kategorie: - aplikacje nie maj▒ce GUI, a wiΩc takie, kt≤rych klientem jest program Telnet, - aplikacje z w│asnym GUI, sk│adaj▒ce siΩ z dw≤ch czΩ╢ci: instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym na komputerze w│amywacza. APLIKACJE STERUJíCE KOMPUTEREM OFIARY PRZEZ TELNET: 1. T5Port 1.0Ma│y (18432 B) ko± troja±ski, autorem kt≤rego jest bli┐ej nie znany osobnik o nicku (icta). Najprostszy z trojan≤w w swojej kategorii, jeden z pierwszych. Nie ma ┐adnego programu instalacyjnego czy te┐ konfiguracyjnego. Zajmuje port 31337 na komputerze ofiary. Po│▒czenie odbywa siΩ poprzez program s│u┐▒cy do │▒czenia siΩ z terminalem, np. Telnet przez wybieranie w menu Po│▒cz opcjΩ System Zdalny i wpisaniu w Nazwie Hosta adres IP atakowanego komputera, a w Porcie warto╢µ 31337. Po nawi▒zaniu │▒czno╢ci wpisujemy domy╢lne has│o, kt≤rego zmieniµ nie mo┐na. Jest nim kojarz▒ce siΩ jednoznacznie s│owo "satan". Uruchomiony na komputerze ofiary aktywny jest tylko przez czas trwania sesji Windows. Aby siΩ w nim zagnie╝dziµ, potrzebny jest rΩczny wpis do Rejestru Systemowego. Oznacza to, i┐ │atwo go dezaktywowaµ, ale znacznie trudniej wykryµ w systemie (w│amywacz mo┐e nadaµ mu tak▒ nazwΩ, jaka tylko mu przyjdzie na my╢l). Jest on niezbyt rozbudowany, o czym ╢wiadcz▒ komendy podobne do tych, kt≤re znamy z systemu MS-DOS: - exec ... - uruchamia aplikacjΩ na komputerze ofiary, - cmd ... - uruchamia komendΩ systemow▒, - annoy - wy╢wietla komunikat o b│Ωdzie, - shutdown - resetuje komputer ofiary, - exit - zamyka sesjΩ, - die - "zabicie" sesji serwera (usuniΩcie go z pamiΩci), - help - wy╢wietlenie pomocy. USUNI╩CIE Z SYSTEMU:T5Port nie jest wykrywany przez programy antywirusowe. Nale┐y usun▒µ go manualnie: 1) Sprawd╝ za pomoc▒ skanera port≤w, czy jest otwarty port 31337 (uwaga: ten port jest r≤wnie┐ u┐ywany przez Back Orifice'a). Je╢li jest, w≤wczas musisz sprawdziµ, jakie s▒ uruchomione procesy w obecnej sesji Windows (opisane wy┐ej w dziale USUWANIE R╩CZNE). Ustal, jak nazywa siΩ potencjalny trojan (nie jest mo┐liwe dok│adne ustalenie nazwy - ka┐dy z uruchomionych program≤w mo┐e byµ backdoorem). Je╢li znasz ju┐ nazwΩ pliku, to poszukaj go na twoich dyskach lokalnych i por≤wnaj z podanym wy┐ej rozmiarem. Je╢li bΩdzie pasowa│ - masz 90-cio% szansΩ, ┐e jest to trojan (je╢li nie - to nim nie jest lub jest to inna wersja). NastΩpnie uruchom Edytor Rejestru (pamiΩtaj o sporz▒dzeniu kopii plik≤w systemowych) i znajd╝ klucz o nazwie takiej jak nazwa pliku (powinien byµ w: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN lub ~\RUNONCE, lub ~\RUNSERVICES itp.). Skasuj klucz bΩd▒cy nazw▒ ustalonego pliku. Je╢li w katalogach RUN, RUNONCE, RUNSERVICES, itp. nie ma takiej nazwy, to masz u│atwione zadanie - trojan nie jest zapisany do Rejestru i wystarczy zresetowaµ Windows, aby zgin▒│ ╢mierci▒ naturaln▒. 2) Zresetuj system. 3) Po ponownym uruchomieniu odszukaj backdoora na twoim dysku lokalnym i usu± go do kosza - je╢li system skasuje go, to pozby│e╢ siΩ trojana. W przeciwnym wypadku poinformuje ciebie, ┐e "podany plik jest u┐ywany przez system Windows". Trzeba wiΩc znowu wr≤ciµ do pierwszego kroku i zlokalizowaµ trojana (przywracaj▒c skasowany plik i pliki rejestru z uprzednio stworzonego katalogu zapasowego). 2. BOWL 1.0Autorem programu jest osoba o niewiele m≤wi▒cym nicku: !brainwat. Program sk│ada siΩ z dw≤ch plik≤w: g│≤wnego o nazwie bowl.exe (38912 B) i pomocniczego s│u┐▒cego do konfiguracji o nazwie config.exe (15360 B). Konfiguracja polega na ustawieniu has│a serwera (domy╢lnym has│em jest allnewbowl) i zainstalowaniu go w systemie. Komunikacja z serwerem odbywa siΩ poprzez program s│u┐▒cy do │▒czenia siΩ z terminalem, np. Telnet wybieraj▒c w menu Po│▒cz opcjΩ System Zdalny i wpisuj▒c w Nazwie Hosta adres IP atakowanego komputera, a w Porcie warto╢µ 1981. Po nawi▒zaniu │▒czno╢ci wpisujemy skonfigurowane wcze╢niej has│o. Po tym zabiegu powinien w naszym oknie telnetowym pokazaµ siΩ serwer Bowla, kt≤ry poda konfiguracjΩ systemu ofiary. W przypadku b│Ωdnego has│a po│▒czenie zostanie zerwane. Komendy wydawane s▒ na wz≤r MS-DOS-a. DostΩpne polecenia to: - beep - generuje sygna│ d╝wiΩkowy, - cat - wy╢wietlenie zawarto╢ci plik≤w, - cd/chdir - przechodzenie miΩdzy katalogami, - clear - wyczyszczenie ekranu, - cmd[v] - uruchamia niewidzialnego dla ofiary command.com-a [Tryb MS-DOS], - cmdr - uruchomienie programu i wypisanie rezultatu po jego zako±czeniu (przerwanie - klawisz ESC), - del/rm - usuniΩcie pliku/plik≤w, - die - "zabicie" sesji serwera (usuniΩcie go z pamiΩci), - dir/ls - wy╢wietlenie istniej▒cych katalog≤w, - errormsg - wy╢wietla komunikat o b│Ωdzie, - exec[v] - uruchamia program niewidzialny dla ofiary [widzialny], - freeze - zawiesza system ofiary, - get - ╢ci▒gniΩcie pliku z komputera ofiary (w│amywacz uruchamia u siebie przegl▒darkΩ - internetow▒ i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku), - graphoff - wy│▒cza tryb graficzny, - kill - "zabija" aktywny proces, - md/mkdir - stworzenie katalogu, - passwd - wypisuje has│a: MS Internet Mail, Netscape Navigator oraz zasob≤w sieciowych, - ps - lista aktywnych proces≤w (nazwa procesu | numer procesu | ╢cie┐ka dostΩpu programu), - quit - zamkniΩcie klienta, - rd/rmdir - usuniΩcie pustych katalog≤w, - shutdown - resetowanie komputera ofiary, - swapmouse - zamiana klawiszy myszki, - telnet - │▒czenie siΩ telnetem z innym hostem, - vied - prosty edytor tekstu (do 1024 linii i 256 znak≤w na ka┐d▒). USUNI╩CIE Z SYSTEMU:Bowl nie jest wykrywany przez programy antywirusowe. Nale┐y usun▒µ go manualnie: 1) Usu± z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices wpis: "NetworkPopup". 2) Zresetuj system. 3) Usu± plik C:\WINDOWS\netpopup.exe. 4) Zobacz, czy na twoim dysku nie ma pliku bowl.exe. 3. ACID SHIVERAS to potΩ┐ne narzΩdzie s│u┐▒ce nie tylko do przejmowania kontroli nad czyim╢ komputerem, ale r≤wnie┐ do generowania konia troja±skiego, kt≤ry zostanie uruchomiony na komputerze ofiary. Pakiet sk│ada siΩ z dw≤ch czΩ╢ci: aplikacji konfiguracyjnej [domy╢lnie nazywa siΩ: ACiD Setup.exe (14336 B)] oraz serwera [domy╢lnie: AciDShivers.exe (186368 B)]. Za pomoc▒ pierwszej w│amywacz tworzy dowolnie nazywaj▒cy siΩ plik, w sk│ad kt≤rego wchodz▒: serwer oraz takie dane, jak: serwer SMTP (s│u┐▒cy do przesy│ania poczty) i adres e-mailowy w│amywacza. Aplikacja ma ikonΩ │udz▒co przypominaj▒c▒ programy instalacyjne dystrybuowane przez Microsoft. Backdoor wyr≤┐nia siΩ na tle innych: aplikacja pr≤buje w ka┐dej sesji Windows po│▒czyµ siΩ ze skonfigurowanym przez w│amywacza serwerem pocztowym i wys│aµ na podany przez niego adres informacjΩ o posiadanym przez ofiarΩ numerze IP oraz porcie, przez kt≤ry mo┐liwa bΩdzie komunikacja (port ten zmienia siΩ za ka┐dym razem!). Na nic wiΩc siΩ przyda w sieci lokalnej nie osiadaj▒cej w│asnego serwera pocztowego. Na dodatek AS to projekt otwarty: udostΩpniany jest wraz z kodem ╝r≤d│owym i ka┐dy u┐ytkownik-programista mo┐e dodaµ co╢ od siebie. Na szczΩ╢cie AS wykrywany jest przez wiΩkszo╢µ markowych program≤w antywirusowych. Serwer potrzebuje do dzia│ania nastΩpuj▒ce pliki: MSvbvm50.dll oraz MSwinsck.ocx. Autor zetkn▒│ siΩ z nastΩpuj▒cymi komendami (AS szybko ewoluuje w Internecie): - Help (komenda) - pomoc (szczeg≤│owa), - BEEP <#> - generuje #-razy d╝wiΩk, - BOUNCE - przekierunkowanie po│▒czenia na dany host i port, - CAT - wy╢wietla zawarto╢µ pliku, - CD - zmiana katalogu, - CLS - czyszczenie ekranu, - CMD - uruchamia komendΩ, - COPY - kopiuje plik1 na plik2, - DATE - pokazuje datΩ, - DEL - skasowanie pliku, - DESK - zmienia na domy╢lny katalog z zawarto╢ci▒ Pulpitu, - DIE - wy│▒cza AS, - DIR - wy╢wietla listΩ katalog≤w, - DRIVE - podaje informacjΩ o napΩdzie, - DRIVES - wy╢wietla dyski fizyczne, RAM-dyski, CD-ROM-y, sieciowe, - ENV - wy╢wietla zmienne systemowe DOS-a, - GET - ╢ci▒ga z serwera plik, - HIDE - schowanie aplikacji o danym (identyfikatorze) widocznej w mened┐erze program≤w - (lista aplikacji pokazuj▒ca siΩ po wci╢niΩciu kombinacji: CTRL+ALT+DEL), - INFO - pokazuje informacjΩ o komputerze ofiary i u┐ytkowniku, - KILL - "zabicie" aktywnego procesu, - LABEL - zmienia etykietΩ dysku, - LS - to samo co DIR, - MKDIR - zak│ada katalog, - NAME - zmienia nazwΩ komputera ofiary, - PORT <#> - zmiana portu AS (dostΩpny po zresetowaniu serwera), - PS - lista aktywnych proces≤w, - RMDIR - przenosi katalog wraz z podkatalogami i plikami, - S - wysy│a kombinacjΩ klawiszy do aktywnej aplikacji, - SH - jw. i pokazuje rezultat, - SHOWs - pokazanie aplikacji j/w, - SHUTDOWN - resetuje serwer, - TIME - pokazuje czas, - VERSION - pokazuje numer wersji AS. USUNI╩CIE Z SYSTEMU:1) AS jest wykrywany przez markowe programy antywirusowe. 2) Nie ma na razie aplikacji wykrywaj▒cych jego dzia│anie. 3) Mo┐na usun▒µ go manualnie: AS pozostawia po sobie wpis "Explorer" = "C:\WINDOWS\MSGSVR16.EXE" (serwer przyjmuje sta│▒ nazwΩ pliku) w Rejestrze Systemowym w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices. Standardowa procedura to: usuniΩcie wpisu, zresetowanie komputera i skasowanie pliku C:\WINDOWS\MSGSVR16.EXE. Istnieje r≤wnie┐ zmieniona przez LEENTech Corporation (Living in an Evolution of Enhanced Networking Technology) wersja AcidShiver. R≤┐ni siΩ nie tylko wielko╢ci▒ serwera (188416 B), ale r≤wnie┐ jego nazw▒ (tour98.exe) i wpisem "WinTour" = "C:\WINDOWS\WINTOUR.EXE" w rejestrze (w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run i HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices). Dodano r≤wnie┐ nowe funkcje: - BCAT lub BGET - wy╢wietla zawarto╢µ pliku binarnego, - MACADDR - pokazuje status po│▒czenia ethernetowego, - RECENT - kasuje folder RECENT (z ostatnio uruchomionymi dokumentami), - STATUS - pokazuje status wszystkich u┐ywanych od pocz▒tku sesji Windows port≤w, - WSFTP - ustawia domy╢lny folder WS_FTP. Nowy AS nie jest jeszcze wykrywany przez programy antywirusowe (Autor ma programu Norton AntiVirus z sygnatur▒ z dnia 26 marca 1999 r., nowa wersja AS testowana by│a dnia 7 kwietnia 1999 r.). JaroChwat Artyku│ zamieszczony na podstawie wymiany z magazynem @t - http://www.at.bjn.pl |