Magazyn Ready
Nr 6-7 - czerwiec-lipiec
www.ready.gery.pl

 

Magazyn Ready
Poprzednia strona

Spis Tre╢ci

NastΩpna strona

TROJANY, czΩ╢µ 1/5

OPIS NAJPOPULARNIEJSZYCH KONI TROJA╤SKICH

Przedstawiam opisy 20 najpospolitszych koni troja±skich (wraz z r≤┐nymi ich wersjami), na kt≤re natkn▒µ mo┐e siΩ u┐ytkownik. ZdajΩ sobie sprawΩ z tego, i┐ nie s▒ to wszystkie backdoory, jakie siΩ pojawi│y w sieciach komputerowych, jednak┐e opisane zosta│y te z nich, kt≤re s▒ najpopularniejsze. Programy zosta│y podzielone na dwie kategorie:
- aplikacje nie maj▒ce GUI, a wiΩc takie, kt≤rych klientem jest program Telnet,
- aplikacje z w│asnym GUI, sk│adaj▒ce siΩ z dw≤ch czΩ╢ci: instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym na komputerze w│amywacza.

APLIKACJE STERUJíCE KOMPUTEREM OFIARY PRZEZ TELNET:

1. T5Port 1.0

Ma│y (18432 B) ko± troja±ski, autorem kt≤rego jest bli┐ej nie znany osobnik o nicku (icta). Najprostszy z trojan≤w w swojej kategorii, jeden z pierwszych. Nie ma ┐adnego programu instalacyjnego czy te┐ konfiguracyjnego. Zajmuje port 31337 na komputerze ofiary. Po│▒czenie odbywa siΩ poprzez program s│u┐▒cy do │▒czenia siΩ z terminalem, np. Telnet przez wybieranie w menu Po│▒cz opcjΩ System Zdalny i wpisaniu w Nazwie Hosta adres IP atakowanego komputera, a w Porcie warto╢µ 31337. Po nawi▒zaniu │▒czno╢ci wpisujemy domy╢lne has│o, kt≤rego zmieniµ nie mo┐na. Jest nim kojarz▒ce siΩ jednoznacznie s│owo "satan". Uruchomiony na komputerze ofiary aktywny jest tylko przez czas trwania sesji Windows. Aby siΩ w nim zagnie╝dziµ, potrzebny jest rΩczny wpis do Rejestru Systemowego. Oznacza to, i┐ │atwo go dezaktywowaµ, ale znacznie trudniej wykryµ w systemie (w│amywacz mo┐e nadaµ mu tak▒ nazwΩ, jaka tylko mu przyjdzie na my╢l). Jest on niezbyt rozbudowany, o czym ╢wiadcz▒ komendy podobne do tych, kt≤re znamy z systemu MS-DOS:
- exec ... - uruchamia aplikacjΩ na komputerze ofiary,
- cmd ... - uruchamia komendΩ systemow▒,
- annoy - wy╢wietla komunikat o b│Ωdzie,
- shutdown - resetuje komputer ofiary,
- exit - zamyka sesjΩ,
- die - "zabicie" sesji serwera (usuniΩcie go z pamiΩci),
- help - wy╢wietlenie pomocy.

USUNI╩CIE Z SYSTEMU:

T5Port nie jest wykrywany przez programy antywirusowe. Nale┐y usun▒µ go manualnie:

1) Sprawd╝ za pomoc▒ skanera port≤w, czy jest otwarty port 31337 (uwaga: ten port jest r≤wnie┐ u┐ywany przez Back Orifice'a). Je╢li jest, w≤wczas musisz sprawdziµ, jakie s▒ uruchomione procesy w obecnej sesji Windows (opisane wy┐ej w dziale USUWANIE R╩CZNE). Ustal, jak nazywa siΩ potencjalny trojan (nie jest mo┐liwe dok│adne ustalenie nazwy - ka┐dy z uruchomionych program≤w mo┐e byµ backdoorem). Je╢li znasz ju┐ nazwΩ pliku, to poszukaj go na twoich dyskach lokalnych i por≤wnaj z podanym wy┐ej rozmiarem. Je╢li bΩdzie pasowa│ - masz 90-cio% szansΩ, ┐e jest to trojan (je╢li nie - to nim nie jest lub jest to inna wersja). NastΩpnie uruchom Edytor Rejestru (pamiΩtaj o sporz▒dzeniu kopii plik≤w systemowych) i znajd╝ klucz o nazwie takiej jak nazwa pliku (powinien byµ w: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN lub ~\RUNONCE, lub ~\RUNSERVICES itp.). Skasuj klucz bΩd▒cy nazw▒ ustalonego pliku. Je╢li w katalogach RUN, RUNONCE, RUNSERVICES, itp. nie ma takiej nazwy, to masz u│atwione zadanie - trojan nie jest zapisany do Rejestru i wystarczy zresetowaµ Windows, aby zgin▒│ ╢mierci▒ naturaln▒.
2) Zresetuj system.
3) Po ponownym uruchomieniu odszukaj backdoora na twoim dysku lokalnym i usu± go do kosza - je╢li system skasuje go, to pozby│e╢ siΩ trojana. W przeciwnym wypadku poinformuje ciebie, ┐e "podany plik jest u┐ywany przez system Windows". Trzeba wiΩc znowu wr≤ciµ do pierwszego kroku i zlokalizowaµ trojana (przywracaj▒c skasowany plik i pliki rejestru z uprzednio stworzonego katalogu zapasowego).

2. BOWL 1.0

Autorem programu jest osoba o niewiele m≤wi▒cym nicku: !brainwat. Program sk│ada siΩ z dw≤ch plik≤w: g│≤wnego o nazwie bowl.exe (38912 B) i pomocniczego s│u┐▒cego do konfiguracji o nazwie config.exe (15360 B). Konfiguracja polega na ustawieniu has│a serwera (domy╢lnym has│em jest allnewbowl) i zainstalowaniu go w systemie. Komunikacja z serwerem odbywa siΩ poprzez program s│u┐▒cy do │▒czenia siΩ z terminalem, np. Telnet wybieraj▒c w menu Po│▒cz opcjΩ System Zdalny i wpisuj▒c w Nazwie Hosta adres IP atakowanego komputera, a w Porcie warto╢µ 1981. Po nawi▒zaniu │▒czno╢ci wpisujemy skonfigurowane wcze╢niej has│o. Po tym zabiegu powinien w naszym oknie telnetowym pokazaµ siΩ serwer Bowla, kt≤ry poda konfiguracjΩ systemu ofiary. W przypadku b│Ωdnego has│a po│▒czenie zostanie zerwane. Komendy wydawane s▒ na wz≤r MS-DOS-a. DostΩpne polecenia to:
- beep - generuje sygna│ d╝wiΩkowy,
- cat - wy╢wietlenie zawarto╢ci plik≤w,
- cd/chdir - przechodzenie miΩdzy katalogami,
- clear - wyczyszczenie ekranu,
- cmd[v] - uruchamia niewidzialnego dla ofiary command.com-a [Tryb MS-DOS],
- cmdr - uruchomienie programu i wypisanie rezultatu po jego zako±czeniu (przerwanie - klawisz ESC),
- del/rm - usuniΩcie pliku/plik≤w,
- die - "zabicie" sesji serwera (usuniΩcie go z pamiΩci),
- dir/ls - wy╢wietlenie istniej▒cych katalog≤w,
- errormsg - wy╢wietla komunikat o b│Ωdzie,
- exec[v] - uruchamia program niewidzialny dla ofiary [widzialny],
- freeze - zawiesza system ofiary,
- get - ╢ci▒gniΩcie pliku z komputera ofiary (w│amywacz uruchamia u siebie przegl▒darkΩ - internetow▒ i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku),
- graphoff - wy│▒cza tryb graficzny,

- kill - "zabija" aktywny proces,
- md/mkdir - stworzenie katalogu,
- passwd - wypisuje has│a: MS Internet Mail, Netscape Navigator oraz zasob≤w sieciowych,
- ps - lista aktywnych proces≤w (nazwa procesu | numer procesu | ╢cie┐ka dostΩpu programu),
- quit - zamkniΩcie klienta,
- rd/rmdir - usuniΩcie pustych katalog≤w,
- shutdown - resetowanie komputera ofiary,
- swapmouse - zamiana klawiszy myszki,
- telnet - │▒czenie siΩ telnetem z innym hostem,
- vied - prosty edytor tekstu (do 1024 linii i 256 znak≤w na ka┐d▒).

USUNI╩CIE Z SYSTEMU:

Bowl nie jest wykrywany przez programy antywirusowe. Nale┐y usun▒µ go manualnie:

1) Usu± z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices wpis: "NetworkPopup".
2) Zresetuj system.
3) Usu± plik C:\WINDOWS\netpopup.exe.
4) Zobacz, czy na twoim dysku nie ma pliku bowl.exe.

3. ACID SHIVER

AS to potΩ┐ne narzΩdzie s│u┐▒ce nie tylko do przejmowania kontroli nad czyim╢ komputerem, ale r≤wnie┐ do generowania konia troja±skiego, kt≤ry zostanie uruchomiony na komputerze ofiary. Pakiet sk│ada siΩ z dw≤ch czΩ╢ci: aplikacji konfiguracyjnej [domy╢lnie nazywa siΩ: ACiD Setup.exe (14336 B)] oraz serwera [domy╢lnie: AciDShivers.exe (186368 B)]. Za pomoc▒ pierwszej w│amywacz tworzy dowolnie nazywaj▒cy siΩ plik, w sk│ad kt≤rego wchodz▒: serwer oraz takie dane, jak: serwer SMTP (s│u┐▒cy do przesy│ania poczty) i adres e-mailowy w│amywacza. Aplikacja ma ikonΩ │udz▒co przypominaj▒c▒ programy instalacyjne dystrybuowane przez Microsoft. Backdoor wyr≤┐nia siΩ na tle innych: aplikacja pr≤buje w ka┐dej sesji Windows po│▒czyµ siΩ ze skonfigurowanym przez w│amywacza serwerem pocztowym i wys│aµ na podany przez niego adres informacjΩ o posiadanym przez ofiarΩ numerze IP oraz porcie, przez kt≤ry mo┐liwa bΩdzie komunikacja (port ten zmienia siΩ za ka┐dym razem!). Na nic wiΩc siΩ przyda w sieci lokalnej nie osiadaj▒cej w│asnego serwera pocztowego. Na dodatek AS to projekt otwarty: udostΩpniany jest wraz z kodem ╝r≤d│owym i ka┐dy u┐ytkownik-programista mo┐e dodaµ co╢ od siebie. Na szczΩ╢cie AS wykrywany jest przez wiΩkszo╢µ markowych program≤w antywirusowych. Serwer potrzebuje do dzia│ania nastΩpuj▒ce pliki: MSvbvm50.dll oraz MSwinsck.ocx. Autor zetkn▒│ siΩ z nastΩpuj▒cymi komendami (AS szybko ewoluuje w Internecie):
- Help (komenda) - pomoc (szczeg≤│owa),
- BEEP <#> - generuje #-razy d╝wiΩk,
- BOUNCE - przekierunkowanie po│▒czenia na dany host i port,
- CAT - wy╢wietla zawarto╢µ pliku,
- CD - zmiana katalogu,
- CLS - czyszczenie ekranu,
- CMD - uruchamia komendΩ,
- COPY - kopiuje plik1 na plik2,
- DATE - pokazuje datΩ,
- DEL - skasowanie pliku,
- DESK - zmienia na domy╢lny katalog z zawarto╢ci▒ Pulpitu,
- DIE - wy│▒cza AS,
- DIR - wy╢wietla listΩ katalog≤w,
- DRIVE - podaje informacjΩ o napΩdzie,
- DRIVES - wy╢wietla dyski fizyczne, RAM-dyski, CD-ROM-y, sieciowe,
- ENV - wy╢wietla zmienne systemowe DOS-a,
- GET - ╢ci▒ga z serwera plik,
- HIDE - schowanie aplikacji o danym (identyfikatorze) widocznej w mened┐erze program≤w - (lista aplikacji pokazuj▒ca siΩ po wci╢niΩciu kombinacji: CTRL+ALT+DEL),
- INFO - pokazuje informacjΩ o komputerze ofiary i u┐ytkowniku,
- KILL - "zabicie" aktywnego procesu,
- LABEL - zmienia etykietΩ dysku,
- LS - to samo co DIR,
- MKDIR - zak│ada katalog,
- NAME - zmienia nazwΩ komputera ofiary,
- PORT <#> - zmiana portu AS (dostΩpny po zresetowaniu serwera),
- PS - lista aktywnych proces≤w,
- RMDIR - przenosi katalog wraz z podkatalogami i plikami,
- S - wysy│a kombinacjΩ klawiszy do aktywnej aplikacji,
- SH - jw. i pokazuje rezultat,
- SHOWs - pokazanie aplikacji j/w,
- SHUTDOWN - resetuje serwer,
- TIME - pokazuje czas,
- VERSION - pokazuje numer wersji AS.

USUNI╩CIE Z SYSTEMU:

1) AS jest wykrywany przez markowe programy antywirusowe.
2) Nie ma na razie aplikacji wykrywaj▒cych jego dzia│anie.
3) Mo┐na usun▒µ go manualnie: AS pozostawia po sobie wpis "Explorer" = "C:\WINDOWS\MSGSVR16.EXE" (serwer przyjmuje sta│▒ nazwΩ pliku) w Rejestrze Systemowym w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices. Standardowa procedura to: usuniΩcie wpisu, zresetowanie komputera i skasowanie pliku C:\WINDOWS\MSGSVR16.EXE.

Istnieje r≤wnie┐ zmieniona przez LEENTech Corporation (Living in an Evolution of Enhanced Networking Technology) wersja AcidShiver. R≤┐ni siΩ nie tylko wielko╢ci▒ serwera (188416 B), ale r≤wnie┐ jego nazw▒ (tour98.exe) i wpisem "WinTour" = "C:\WINDOWS\WINTOUR.EXE" w rejestrze (w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run i HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices). Dodano r≤wnie┐ nowe funkcje:
- BCAT lub BGET - wy╢wietla zawarto╢µ pliku binarnego,
- MACADDR - pokazuje status po│▒czenia ethernetowego,
- RECENT - kasuje folder RECENT (z ostatnio uruchomionymi dokumentami),
- STATUS - pokazuje status wszystkich u┐ywanych od pocz▒tku sesji Windows port≤w,
- WSFTP - ustawia domy╢lny folder WS_FTP.
Nowy AS nie jest jeszcze wykrywany przez programy antywirusowe (Autor ma programu Norton AntiVirus z sygnatur▒ z dnia 26 marca 1999 r., nowa wersja AS testowana by│a dnia 7 kwietnia 1999 r.).

JaroChwat

Artyku│ zamieszczony na podstawie wymiany z magazynem @t - http://www.at.bjn.pl

 

__________________ REKLAMA __________________

System wymiany baner≤w NetBAN


Poprzednia strona   | 49 |  NastΩpna strona
Spis Tre╢ci


Copyright (C) 2001 by Ready. Wszelkie prawa zastrze┐one.