profil

Konie trojanskie

poleca 85% 103 głosów

Treść
Grafika
Filmy
Komentarze

OPIS NAJPOPULARNIEJSZYCH KONI TROJAŃSKICH



Przedstawiam opisy 20 najpospolitszych koni trojańskich (wraz z różnymi ich wersjami) na które natknąć może się użytkownik. Autor zdaje sobie sprawę z tego, iż nie są to wszystkie backdoory, jakie się pojawiły w sieciach komputerowych, jednakże opisane zostały te z nich, które są najpopularniejsze. Programy zostały podzielone na dwie kategorie:

· Aplikacje nie mające GUI, a więc takie, których klientem jest program Telnet

· Aplikacje z własnym GUI, składające się z dwóch części: instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym na komputerze włamywacza



APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ TELNET:



1. T5Port 1.0



Mały (18 432B) koń trojański, autorem którego jest bliżej nie znany osobnik o nicku (icta). Najprostszy z trojanów w swojej kategorii, jeden z pierwszych. Nie ma żadnego programu instalacyjnego czy też konfiguracyjnego. Zajmuje port 31337 na komputerze ofiary. Połączenie odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet przez wybieranie w menu Połącz opcję System Zdalny i wpisaniu w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 31337. Po nawiązaniu łączności wpisujemy domyślne hasło, którego zmienić nie można. Jest nim kojarzące się jednoznacznie słowo „satan”. Uruchomiony na komputerze ofiary aktywny jest tylko przez czas trwania sesji Windows. Aby się w nim zagnieździć, potrzebny jest ręczny wpis do Rejestru Systemowego. Oznacza to, iż łatwo go dezaktywować, ale znacznie trudniej wykryć w systemie (włamywacz może nadać mu taką nazwę, jaka tylko mu przyjdzie na myśl). Jest on niezbyt rozbudowany, o czym świadczą komendy podobne do tych, które znamy z systemu MS-DOS:

exec ... – uruchamia aplikację na komputerze ofiary

cmd ... – uruchamia komendę systemową

annoy – wyświetla komunikat o błędzie

shutdown – resetuje komputer ofiary

exit – zamyka sesję

die – „zabicie” sesji serwera (usunięcie go z pamięci)

help – wyświetlenie pomocy



USUNIĘCIE Z SYSTEMU:

T5Port nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:



· Sprawdź za pomocą skanera portów, czy jest otwarty port 31337 (uwaga: ten port jest również używany przez Back Orifice’a). Jeśli jest, wówczas musisz sprawdzić, jakie są uruchomione procesy w obecnej sesji Windows (opisane wyżej w dziale USUWANIE RĘCZNE). Ustal, jak nazywa się potencjalny trojan (nie jest możliwe dokładne ustalenie nazwy – każdy z uruchomionych programów może być backdoorem). Jeśli znasz już nazwę pliku, to poszukaj go na twoich dyskach lokalnych i porównaj z podanym wyżej rozmiarem. Jeśli będzie pasował – masz 90-cio % szansę, że jest to trojan (jeśli nie – to nim nie jest lub jest to inna wersja). Następnie uruchom Edytor Rejestru (pamiętaj o sporządzeniu kopii plików systemowych) i znajdź klucz o nazwie takiej jak nazwa pliku (powinien być w: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRUN lub ~RUNONCE, lub ~RUNSERVICES itp.). Skasuj klucz będący nazwą ustalonego pliku. Jeśli w katalogach RUN, RUNONCE, RUNSERVICES, itp. nie ma takiej nazwy, to masz ułatwione zadanie – trojan nie jest zapisany do Rejestru i wystarczy zresetować Windows, aby zginął śmiercią naturalną.

· Zresetuj system

· Po ponownym uruchomieniu odszukaj backdoora na twoim dysku lokalnym i usuń go do kosza – jeśli system skasuje go, to pozbyłeś się trojana. W przeciwnym wypadku poinformuje ciebie, że „podany plik jest używany przez system Windows”. Trzeba więc znowu wrócić do pierwszego kroku i zlokalizować trojana (przywracając skasowany plik i pliki rejestru z uprzednio stworzonego katalogu zapasowego)





2. BOWL 1.0



Autorem programu jest osoba o niewiele mówiącym nicku: !brainwat. Program składa się z dwóch plików: głównego o nazwie bowl.exe (38 912b) i pomocniczego służącego do konfiguracji o nazwie config.exe (15 360b). Konfiguracja polega na ustawieniu hasła serwera (domyślnym hasłem jest allnewbowl) i zainstalowaniu go w systemie. Komunikacja z serwerem odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet wybierając w menu Połącz opcję System Zdalny i wpisując w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 1981. Po nawiązaniu łączności wpisujemy skonfigurowane wcześniej hasło. Po tym zabiegu powinien w naszym oknie telnetowym pokazać się serwer Bowla, który poda konfigurację systemu ofiary. W przypadku błędnego hasła połączenie zostanie zerwane. Komendy wydawane są na wzór MS DOSa. Dostępne polecenia to:



beep – generuje sygnał dźwiękowy

cat - wyświetlenie zawartości plików

cd/chdir - przechodzenie między katalogami

clear – wyczyszczenie ekranu

cmd[v] – uruchamia niewidzialnego dla ofiary command.com-a [Tryb MS-DOS]

cmdr – uruchomienie programu i wypisanie rezultatu po jego zakończeniu (przerwanie – klawisz ESC)

del/rm – usunięcie pliku/plików

die – „zabicie” sesji serwera (usunięcie go z pamięci)

dir/ls – wyświetlenie istniejących katalogów

errormsg – wyświetla komunikat o błędzie

exec[v] - uruchamia program niewidzialny dla ofiary [widzialny]

freeze – zawiesza system ofiary

get – ściągnięcie pliku z komputera ofiary (włamywacz uruchamia u siebie przeglądarkę internetową i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku)

graphoff – wyłącza tryb graficzny

kill – „zabija” aktywny proces

md/mkdir – stworzenie katalogu

passwd – wypisuje hasła: MS Internet Mail, Netscape Navigator oraz zasobów sieciowych

ps – lista aktywnych procesów (nazwa procesu | numer procesu | ścieżka dostępu programu)

quit – zamknięcie klienta

rd/rmdir – usunięcie pustych katalogów

shutdown – resetowanie komputera ofiary

swapmouse – zamiana klawiszy myszki

telnet – łączenie się telnetem z innym hostem

vied – prosty edytor tekstu (do 1024 linii i 256 znaków na każdą)



USUNIĘCIE Z SYSTEMU:

Bowl nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:



· usuń z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices wpis: „NetworkPopup”

· zresetuj system

· usuń plik C:WINDOWS
etpopup.exe

· zobacz, czy na twoim dysku nie ma pliku bowl.exe



3. ACID SHIVER



AS to potężne narzędzie służące nie tylko do przejmowania kontroli nad czyimś komputerem, ale również do generowania konia trojańskiego, który zostanie uruchomiony na komputerze ofiary. Pakiet składa się z dwóch części: aplikacji konfiguracyjnej [domyślnie nazywa się: ACiD Setup.exe (14 336b)] oraz serwera [domyślnie: AciDShivers.exe (186 368b)]. Za pomocą pierwszej włamywacz tworzy dowolnie nazywający się plik, w skład którego wchodzą: serwer oraz takie dane, jak: serwer SMTP (służący do przesyłania poczty) i adres emailowy włamywacza. Aplikacja ma ikonę łudząco przypominającą programy instalacyjne dystrybuowane przez Microsoft. Backdoor wyróżnia się na tle innych: aplikacja próbuje w każdej sesji Windows połączyć się ze skonfigurowanym przez włamywacza serwerem pocztowym i wysłać na podany przez niego adres informację o posiadanym przez ofiarę numerze IP oraz porcie, przez który możliwa będzie komunikacja (port ten zmienia się za każdym razem!). Na nic więc się przyda w sieci lokalnej nie osiadającej własnego serwera pocztowego. Na dodatek AS to projekt otwarty: udostępniany jest wraz z kodem źródłowym i każdy użytkownik-programista może dodać coś od siebie. Na szczęście AS wykrywany jest przez większość markowych programów antywirusowych. Serwer potrzebuje do działania następujące pliki: MSvbvm50.dll oraz MSwinsck.ocx. Autor zetknął się z następującymi komendami (AS szybko ewoluuje w Internecie):

Help (komenda) – pomoc (szczegółowa)

BEEP <#> - generuje #-razy dźwięk

BOUNCE - przekierunkowanie połączenia na dany host i port

CAT - wyświetla zawartość pliku

CD - zmiana katalogu

CLS – czyszczenie ekranu

CMD - uruchamia komendę

COPY - kopiuje plik1 na plik2

DATE – pokazuje datę

DEL - skasowanie pliku

DESK – zmienia na domyślny katalog z zawartością Pulpitu

DIE – wyłącza AS

DIR – wyświetla listę katalogów

DRIVE - podaje informację o napędzie

DRIVES – wyświetla dyski fizyczne, ram-dyski, CD-ROM-y, sieciowe

ENV – wyświetla zmienne systemowe DOS-a

GET - ściąga z serwera plik

HIDE - schowanie aplikacji o danym (identyfikatorze) widocznej w menedżerze programów (lista aplikacji pokazująca się po wciśnięciu kombinacji: CTRL+ALT+DEL)

INFO – pokazuje informację o komputerze ofiary i użytkowniku

KILL – „zabicie” aktywnego procesu

LABEL - zmienia etykietę dysku

LS – to samo co DIR

MKDIR - zakłada katalog

NAME - zmienia nazwę komputera ofiary

PORT <#> - zmiana portu AS (dostępny po zresetowaniu serwera)

PS – lista aktywnych procesów

RMDIR - przenosi katalog wraz z podkatalogami i plikami

S – wysyła kombinację klawiszy do aktywnej aplikacji

SH - jw. i pokazuje rezultat

SHOWs - pokazanie aplikacji jw.

SHUTDOWN – resetuje serwer

TIME – pokazuje czas

VERSION – pokazuje numer wersji AS



USUNIĘCIE Z SYSTEMU:

· AS jest wykrywany przez markowe programy antywirusowe

· Nie ma na razie aplikacji wykrywających jego działanie.

· Można usunąć go manualnie: AS pozostawia po sobie wpis „Explorer” = „C:WINDOWSMSGSVR16.EXE” (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczach: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices.Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku: C:WINDOWSMSGSVR16.EXE.



Istnieje również zmieniona przez LEENTech Corporation (Living in an Evolution of Enhanced Networking Technology) wersja AcidShiver. Różni się nie tylko wielkością serwera (188 416b), ale również jego nazwą (tour98.exe) i wpisem „WinTour” = „C:WINDOWSWINTOUR.EXE” w rejestrze (w kluczach: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun i HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices). Dodano również nowe funkcje:

BCAT lub BGET - wyświetla zawartość pliku binarnego

MACADDR – pokazuje status połączenia ethernetowego

RECENT – kasuje folder RECENT (z ostatnio uruchomionymi dokumentami)

STATUS – pokazuje status wszystkich używanych od początku sesji Windows portów

WSFTP – ustawia domyślny folder WS_FTP

Nowy AS nie jest jeszcze wykrywany przez programy antywirusowe (Autor ma programu Norton AntiVirus z sygnaturą z dnia 26 marca 1999 r., nowa wersja AS testowana była dnia 7 kwietnia 1999 r.).





APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ KLIENTA:



1. BACK ORIFICE



Stworzony przez Cult of the Dead Cow Communications Back Orifice jest potężnym narzędziem do administracji komputerem ofiary. Łączy w sobie cechy wcześniejszych aplikacji (Bowla, T5Porta), udostępniając konsolę tekstową oraz aplikacji klient-serwer, udostępniając ładny, niestandardowy interfejs GUI. Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Instalacja przebiega szybko i sprawnie: pakiet składa się z kilku plików:

bo.txt – dokumentacja BO (15 184b)

plugin.txt – dokumentacja pluginów BO (914b)

boserve.exe – samoinstalujący się serwer BO (124 928b)

bogui.exe – klient graficzny BO (284 160b)

boclient.exe – klient tekstowy BO (57 856b)

boconfig.exe – konfiguracja BO (28 672b)

melt.exe – dekompresor plików spakowanych programem freeze (29 184b)

freeze.exe – kompresor plików (33 280b)



Najważniejszą częścią BO jest serwer o nazwie boserve.exe. Wystarczy uruchomić go kliknięciem lub naciśnięciem klawisza ENTER, aby zainstalował się „bezszelestnie” w katalogu systemowym. Aby skonfigurować serwer, należy posłużyć się programem boconfig.exe, który może również dołączyć się do innych plików wykonywalnych w ten sam sposób jak to robią wirusy. Dwa kolejne wykonywalne pliki w pakiecie są używane przez konia trojańskiego podczas kompresji (freeze) / dekompresji (melt) plików na komputerze ofiary. Uruchomiony po raz pierwszy serwer BO tworzy plik windll.dll w katalogu systemowym Windows (plik ten jest zawarty w kodzie konia trojańskiego), potem wyszukuje aktualnie uruchomione przez ewentualną poprzednią wersję programu procesy, zakańcza je i uaktualnia uruchamiając własne, kopiuje sam siebie do katalogu systemowego Windows (pod nazwą ".exe" i rejestruje się w rejestrze jako jedna z usług autostartu). Później przydziela sobie port numer 31337 (identyczny do T5Port) i zaczyna nasłuchiwać na tym porcie. Komendy można wydawać albo za pomocą aplikacji o graficznym GUI lub na konsoli tekstowej. Zależnie od wydanego polecenia trojan może podejmować następujące działania:



App add – uruchamia tekstowe aplikacje gotową do „nasłuchu” przez port (dostępne później przez np. Telnet)

App del – zatrzymuje wystartowaną wyżej aplikację

Apps list – wyświetla listę uruchomionych wyżej aplikacji

Directory create – tworzy na serwerze katalog

Directory list – wyświetla listę katalogów na serwerze

Directory remove – usuwa katalogi

Export add

Export delete

Exports list

File copy – kopiuje plik/pliki

File delete –kasuje plik/pliki

File find –szuka plik/pliki

File freeze – kompresuje plik/pliki

File melt – dekompresuje plik/pliki

File view – przegląda plik tekstowy

HTTP Disable – wyłącza serwer http

HTTP Enable - włącza serwer http (można uzyskać dostęp do komputera przez przeglądarkę)

Keylog begin – loguje sekwencję wciskanych przez ofiarę klawiszy

Keylog end – kończy logowanie

MM Capture avi – przechwytuje obraz video wraz z dźwiękiem z serwera

MM Capture frame – przechwytuje pojedyncze klatki

MM Capture screen – przechwytuje obraz (screenshot)

MM List capture devices – lista przechwytujących urządzeń

MM Play sound – odtwarza dźwięk na serwerze

Net connections – lista połączeń sieciowych

Net delete – odłącza serwer ofiary od sieci

Net use – przyłącza serwer ofiary do sieci

Net view – wyświetla wszystkie informacje dotyczące sieci (serwery, udostępnione katalogi/dyski)

Ping host – pinguje serwer

Plugin execute – uruchamia plugin BO

Plugin kill – kończy działanie pluginu BO

Plugins list – wyświetla listę dostępnych pluginów BO

Process kill – kończy proces

Process list - wyświetla listę dostępnych procesów

Process spawn – uruchamia program jako ukryty / widzialny na serwerze

Redir add - przekierunkowuje zasoby TCP/IP (połączenia)

Redir del – usuwa przekierunkowania zasobów TCP/IP

Redirs list - wyświetla listę dostępnych przekierunkowań zasobów TCP/IP

Reg create key – tworzy klucz w Rejestrze Systemowym

Reg delete key – kasuje klucz

Reg delete value – kasuje wartość klucza

Reg list keys – wyświetla listę kluczy rejestru

Reg list values – wyświetla wartość klucza

Reg set value – ustawia wartość klucza (binarną, DWORD, string)

Resolve host – zamienia nazwę domeny na adres IP

System dialogbox – wyświetla okienko dialogowe z komunikatem i przyciskiem „OK”

System info – wyświetla informacje o serwerze

System lockup – skutecznie zawiesza system

System passwords – podaje hasła systemowe serwera

System reboot – resetuje serwer

TCP/IP file receive – łączy serwer z podanym IP i zapisuje do pliku ściągnięte dane

TCP/IP file send – łączy serwer z podanym IP i przesyła doń dane



Koń trojański może rozbudowywać swoje możliwości poprzez wbudowane plug-iny. Mogą one być wysyłane do "serwera" i instalowane.



USUNIĘCIE Z SYSTEMU:



· Back Orifice jest wykrywany przez programy antywirusowe. Jeśli dysponujesz najnowszą sygnaturą wirusów, to problem BO masz z głowy. Jeśli nie, to będziesz zmuszony ściągnąć ją z Internetu

· Możesz także użyć programów do wykrywania BO. W Sieci znajdziesz ich całą masę. Najbardziej znane to: Bored 0.2 executable i BoDetect v1.0.2. oraz NOBO.

· Manualnie: uruchom Edytor Rejestru (regedit.exe) i znajdź klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices. Usuń wartość o nazwie: (domyślna) „ .exe”. Zresetuj system. Z katalogu C:WINDOWSSYSTEM usuń pliki: .exe (uważaj, bo w zwykłym menedżerze plików prawie go nie widać – zamiast ikony jest przerwa. Najlepiej ustawić w menu Widok|Szczegóły,

wówczas obok pustego miejsca będzie jeszcze wyszczególniony rozmiar pliku i jego rodzaj – Aplikacja) i windll.dll. Twój system jest od tej pory bezpieczny.









2. DEEP THROAT REMOTE 1.0



Napisany przez The DarkLIGHT Corporation.Deep Throat składa się z dwóch plików: serwera systempatch.exe (260 971b) oraz klienta RemoteControl.exe (271 959b). Serwer DTR 1.0 nie jest zabezpieczany hasłem, dostęp do niego jest więc możliwy z każdego klienta programu. Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Wyposażony został w „podstawowe” funkcje:

Otwieranie i zamykanie CD-ROMu na serwerze

Uruchamianie okienka dialogowego z komunikatem

Chowanie/przywracanie paska startowego Windows

Serwer FTP umożliwiający ściągnięcie dowolnego pliku z komputera ofiary (aby tego dokonać niezbędny jest klient FTP, np. Cute FTP lub WS_FTP)

Zrzut ekranu serwera (dzięki temu można zobaczyć aktualny ekran na serwerze, np. pulpit ofiary)

Otwarcie adresu internetowego na serwerze

Włącza tryb oszczędzania energii, który może być wyłączony tylko przez włamywacza

W wersji późniejszej niż 1.0 kradnie hasła systemowe

Uruchamia programy na serwerze (widzialne lub nie dla użytkownika)

Resetuje serwer

Skaner obecności serwera DTR na hostach

Pingowanie (przesyłanie pakietu informacji) hosta w celu sprawdzenia aktywności serwera DTR

Podanie dokładnych informacji o komputerze ofiary



USUNIĘCIE Z SYSTEMU:

· DTR jest wykrywany przez większość znanych programów antywirusowych

· Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.

· Uruchom Edytor Rejestru i odnajdź klucz o nazwie: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. W kluczu tym znajdź wpis „SystemDLL32” i zapamiętaj nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSTEMPATCH.EXE”). Skasuj wpis.

· Zresetuj komputer. Po ponownym uruchomieniu Windows odszukaj na dysku aplikację i skasuj ją. Twój system jest od tej pory bezpieczny.





3. MASTER’S PARADISE



W przypadku MP znamy jego twórcę. Jest nim niemiecki programista Dan Lehman. Podobnie jak jego poprzednicy, MP składa się z dwóch części. Serwer może być dołączony do praktycznie każdej aplikacji. W Internecie upowszechnił się poprzez dołączenie do popularnej gry-parodii o tytule: "Pie Bill Gates" (rzucanie ciastkiem w B. Gatesa), gdzie zagnieździł się w pliku GAME.EXE. Uruchamiając na swoim komputerze grę zarażamy jednocześnie system koniem trojańskim (najczęściej poprzez zainstalowanie gry, której nielegalna dystrybucja rozpowszechniona jest w samorozpakowujących się archiwach programu TurboSFX). Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Program wyposażono w różne funkcje:

Otwieranie/zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu)

„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków

Chowanie, pokazywanie i wyłączanie okien aplikacji na serwerze

Generowanie dźwięku wciskanych klawiszy

Nagrywanie dźwięku przez mikrofon ofiary

Nawigacja myszką ofiary (poprzez współrzędne lub manualnie – sterowanie własną)

Odtworzenie dźwięku na komputerze ofiary

Otwarcie adresu internetowego na serwerze

Przesyłanie dowolnych plików na serwer

Screenshot – zrzut ekranu ofiary

Ściąganie i kasowanie dowolnego pliku na serwerze

Uruchomienie aplikacji na serwerze

Wyłączenie dowolnego klawisza

Wysłanie komunikatu do ofiary.

Wysyłanie tekstu do aktywnej aplikacji.

Wyświetlenie dokładnej informacji o komputerze

Wyświetlenie na ekranie ofiary obrazka.

Zamiana przycisków myszki: prawy na lewy i na odwrót

Zmiana głośności dźwięku

Zresetowanie, wylogowanie ofiary.





USUNIĘCIE Z SYSTEMU:

· MP jest wykrywany przez większość znanych programów antywirusowych

· Usuwa go także aplikacja wykrywająca Back Orifice’a: BOClean 2.01

· Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.

· MP instaluje się do systemu poprzez zastąpienie programu SYSEDIT.EXE swoim serwerem oraz biblioteki KeyHook.DLL znajdującej się w katalogu Windows lub systemowym (C:WINDOWS lub C:WINDOWSSYSTEM). O ile odzyskanie tego pierwszego pliku nie sprawia większych trudności (jest dołączany do każdej dystrybucji programu instalacyjnego systemu), to z przywróceniem drugiego pliku są już większe problemy: jest on dołączany do niektórych tylko programów – trzeba więc znaleźć go w ich wersjach instalacyjnych lub w Internecie.

· Uruchom Edytor Rejestru i odnajdź klucz o nazwie: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. W kluczu tym znajdź wpis i zapamiętaj nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSEDIT.EXE”). Skasuj wpis.

· Zresetuj komputer. Po ponownym uruchomieniu Windows odszukaj na dysku aplikację i skasuj ją. Skasuj również bibliotekę KeyHook.DLL. przywróć powyższe pliki z oryginalnych wersji instalacyjnych. Twój system jest od tej pory bezpieczny.





4. NETBUS 1.60, 1.70, 2.0



Podobnie jak w przypadku wcześniejszego Master’s Paradise znamy twórcę Netbus’a. Jest nim Carl-Fredrik Neikter. Co ciekawsze, wersja 2.0 jest programem shareware, który należy zarejestrować [istnieją 2 rodzaje licencji: na „użytek domowy” oraz dla firm i organizacji (pojedyncze lub stanowiskowe)]. Opłata jest związana, jak twierdzi autor, nie z komercyjną działalnością, ale ze wsparciem jego działań. Wersja 1.6 składa się z dwóch najważniejszych plików (nie mówiąc o dokumentacji): serwera o nazwie Patch.exe (472 576b) oraz klienta – NetBus.exe (567 296b). Wersja 1.7 to pliki o tej samej nazwie, ale innym rozmiarze: 494 592b (serwer) i 599 552b (klient). Obie wersje instalują się domyślnie na portach 12345 lub 12346. Najnowsza wersja rozpowszechniana jest w charakterystycznej dla znanych programów dystrybucji InstallShield(r) Wizard (rysunek) i jej serwer zajmuje domyślnie port 20034.

Ustawienia serwera zmienić można programem instalacyjnym (NetBus 2.0 - rysunek) lub po połączeniu się z nim klientem (każdy). W wersjach wcześniejszych od 2.0 wystarczy tylko uruchomić serwer (jego nazwa może się dowolnie różnić od patch.exe, można też stosować parametry: /noadd, /remove, /pass:xxx, /port:xxx), aby stał się aktywny podczas każdej sesji Windows.

NetBus ma funkcje podobne do wcześniejszych koni trojańskich. Są to:

Otwieranie, zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu)

„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków

Chowanie, pokazywanie i wyłączanie okien aplikacji na serwerze

Generowanie dźwięku wciskanych klawiszy

Nagrywanie dźwięku przez mikrofon ofiary

Nawigacja myszką ofiary (poprzez współrzędne lub manualnie – sterowanie własną)

Odtworzenie dźwięku na komputerze ofiary (format WAV)

Otwarcie adresu internetowego na serwerze

Powiadamianie emailowe o obecności w sieci ofiary

Przesyłanie dowolnych plików na serwer

Przekierunkowanie danych ze specyficznego portu na podany host i na odwrót (możliwość sterowania aplikacją ofiary z komputera włamywacza przez konsolę telnetową)

Screenshot – zrzut ekranu ofiary

Skaner serwerów NetBusa w sieci

Ściąganie i kasowanie dowolnego pliku na serwerze

Uruchomienie aplikacji na serwerze

Wyłączenie dowolnego klawisza

Wysłanie komunikatu do ofiary.

Wysyłanie tekstu do aktywnej aplikacji.

Wyświetlenie dokładnej informacji o komputerze

Wyświetlenie na ekranie ofiary obrazka (w formacie BMP i JPG)

Zamiana przycisków myszki: prawy na lewy i na odwrót

Zmiana głośności dźwięku

Zmiana konfiguracji serwera NetBusa (port, hasło, itp.)

Zresetowanie, wylogowanie ofiary.



W wersji 2.0 dodano:

Zmieniono GUI

Zwiększono wydajność

Zmieniono menedżera plików

Zmieniono menedżera okien

Dodano menedżera Rejestru Systemowego

Dodano menedżera pluginów

Dodano możliwość ściągnięcia filmu z serwera

Dodano możliwość wykradzenia haseł systemowych

Dodano klienta Chatu z innymi użytkownikami NetBusa (sic!)



USUNIĘCIE Z SYSTEMU:

· NetBus jest wykrywany przez większość znanych programów antywirusowych

· Usuwa go także aplikacja NetBus Remover

· Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.

· Wykrycie NetBusa jest trudne, ponieważ jego serwer może przyjąć każdą nazwę. Na szczęście można go odkryć w Rejestrze Systemowym. NetBus pozostawia takie wpisy jak: HKEY_CURRENT_USERNETBUS 1.6, HKEY_CURRENT_USERNETBUS 1.7, HKEY_CURRENT_USERNetBus, HKEY_CURRENT_USERNetBus Server (dwa ostatnie to wersja 2.0, wtedy wystarczy tylko odszukać klucz HKEY_CURRENT_USERNetBusTransfer, w którym podana jest ścieżka serwera, usunąć dwa wcześniejsze klucze, zresetować komputer i w następnej sesji Windows usunąć serwer oraz plik NBHelp.dll). Wcześniejsze wersje NetBusa trudniej jest wykryć (chyba że włamywacz nie pofatygował się i nie zmienił nazwy serwera – wówczas jest nim plik o nazwie Patch.exe). NetBus w wersji 1.6 i 1.7 zostawia charakterystyczny wpis w Rejestrze: HKEY_CURRENT_USER
azwa_serwera_w_wersji_1.6_lub_1.7. Znając nazwę można usunąć konia trojańskiego kasując w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis o nazwie takiej, jak nazwa serwera (czyli np. jeśli nasz serwer nazywa się serwer.exe, to zostawia takie klucze w Rejestrze, jak: 1. HKEY_CURRENT_USERSERWER, 2. A w HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: nazwa „SERWER” – dane „ścieżka_dostępuserwer.exe”. Wystarczy usunąć te dwa wpisy, zresetować komputer i manualnie usunąć serwer z dysku, aby pozbyć się ostatecznie NetBusa.





5. PROSIAK 0.47, 1/2



Program o swojsko brzmiącej nazwie Prosiak jest ewenementem, jeśli chodzi o twórczość polskich programistów (nawet jeśli chodzi o tak delikatną kwestię, jak włamywanie się do cudzych komputerów). Jego autorem jest student ukrywający się pod adresem [email protected]. Trojan składa się z dwóch części: serwera PROSIAK.EXE (238 592b w wersji 0.47, 237 056b w wersji 1/2) oraz klienta PRO_CLI.EXE (211 456b w v. 0.47, 258 048b w v. 1/2). Serwer instaluje się na porcie 33333 (v. 0.47) lub 44444 (v. 1/2). Działa na systemach: Windows 95 i 98. UWAGA ! Jako że Prosiak jest polskim koniem trojańskim, nie jest jeszcze (kwiecień ’99) wykrywany przez programy antywirusowe. Usunąć można go jedynie manualnie. W przeciwieństwie do wcześniejszych koni trojańskich, które powielały pomysły, Prosiak ma kilka innowacji. Dostępne w wersji 0.47 funkcje to:

zamknięcie, odinstalowanie, zmiana nazwy serwera

zmiana nazwy sieciowej komputera

zmiana nazwy, chowanie, pokazywanie, minimalizowanie, maksymalizowanie okien oraz „okien-dzieci” (czyli np. menu aplikacji)

efekty wizualne: skurczenie, wstrząsanie, migotanie, zamiana kolorów na negatyw, dziurkowanie okien

podstawowe operacje na plikach (kopiowanie, usuwanie, uruchamianie, tworzenie katalogów, ściąganie, przesyłanie na serwer)

podstawowe informacje o serwerze (nazwa domeny, IP, ścieżki systemowe)

czytanie, usuwanie, przesyłanie tekstu do schowka

uruchamianie na serwerze strony internetowej

uruchamianie na serwerze domyślnego programu pocztowego z zadanym adresem emailowym i tematem listu

uruchamianie komend DOS-a

włączenie wygaszacza ekranu, trybu oszczędzania energii, zmiana kolorów w Windowsie na negatyw (również czasowa)

schowanie/ pokazanie przycisku START, paska zadań (TASKBAR), Pulpitu

zamiana klawiszy myszki

wyświetlenie okienka dialogowego/ wodzenie za kursorem myszki komunikatu

wylogowanie, zresetowanie, zamknięcie systemu

pokazanie na ekranie serwera obrazka

odtworzenie na serwerze pliku muzycznego

zrzut ekranu z serwera (niestety bardzo wolny)

efekty wizualne na ekranie: „skaczące pixelki”, „inwazja mrówek”, „rozmycie”, „znikające kolory”

W wersji 1/2 dodano:

dokładniejsze informacje o systemie (czas pracy, rozdzielczość, pamięć fizyczna, długość pinga

skaner sieci (wykrywanie Prosiaka na innych komputerach podłączonych do sieci)

opcję zawieszenia komputera

możliwość uruchamiania i edycji skryptów

zmiana hasła (domyślnie: prosiak)

wystartowanie serwera proxy (przekierunkowanie aplikacji znane z BO czy NetBusa)

wystartowanie serwera httpd

konsola wykonywanych przez serwer poleceń



USUNIĘCIE Z SYSTEMU:

· Prosiak nie jest wykrywany przez programy antywirusowe

· Nie ma także na razie aplikacji wykrywających jego działanie

· Wykrycie Prosiaka jest łatwiejsze niż NetBusa, mimo iż jego serwer również może przyjąć każdą nazwę. W przeciwieństwie do NetBusa, Prosiak nie zmienia nazwę wpisu w rejestrze (Microsoft DLL Loader), a pozostawia go w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices. Domyślnie wpis ma wartość: windll32.exe (w wersji 0.47) lub vbrun60.exe (w wersji 1/2). Ponadto w wersji 1/2 Prosiak tworzy klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRconfig. Usuwając wpis, resetując komputer i kasując serwer znajdujący się w katalogu C:WINDOWSSYSTEM pozbędziemy się go na dobre.



6. SOCKETS DE TROIE



Jest to drugi (po Prosiaku) program „narodowy” stworzony w języku innym niż angielski. Powstał w ojczyźnie Napoleona, w październiku 1998 roku. Napisany w języku Delphi 3, ma rozbudowany (około 443 kB) rdzeń. Ciekawostką jest to, iż dystrybucja tego konia trojańskiego obejmuje: aplikacje klient-serwer, dokumentację oraz kod źródłowy (w przeciwieństwie do innych, „komercyjnych” aplikacji). Istnieją znane 2 rodzaje instalacji serwera:



1. Uruchomiony serwer podaje komunikat o brakującej bibliotece (SETUP32.DLL) instalując się do katalogu systemowego Windows (jako plik MSCHV32.EXE) i modyfikując zarazem Rejestr Systemowy, aby uruchamiać się z każdą sesją systemu (pierwszy klucz: HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRunLoad oraz wpis: „MSchv32 Drv = C:WINDOWSSYSTEMMSchv32.exe”, drugi klucz: HKEY_CLASSES_ROOTDirectSockets oraz wpis:

„DirectSocketsCtrl = $A4 D5 #FFF”).

2. Uruchomiony serwer podaje komunikat o brakującej bibliotece (ISAPI32.DLL) instalując się trzykrotnie: raz do katalogu Windows (c:windows
srcload.exe), 2 razy do katalogu systemowego (c:windowssystemmgadeskdll.exe,

c:windowssystemcsmctrl32.exe) i modyfikując zarazem Rejestr Systemowy: pierwszy klucz: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunLoad oraz wpis: Mgadeskdll = C:WINDOWSSYSTEMMgadeskdll.exe



drugi klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLoad oraz wpis: Rsrcload = C:WINDOWSRsrcload.exe



trzeci klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesLoad oraz wpis: Csmctrl32 = C:WINDOWSSYSTEMCsmctrl32.exe



USUNIĘCIE Z SYSTEMU:

· Sockets de Troie nie jest wykrywany przez programy antywirusowe

· Usuwa go Anti-Sockets de Troie

· SdT usunąć można również manualnie – kasując podane wyżej klucze w Rejestrze Systemowym. Wcześniej należy zapamiętać ścieżki i nazwy plików, które po ponownym uruchomieniu Windows trzeba usunąć z systemu. Od tej chwili system jest bezpieczny.



7. WinCrash 1.03



Kolejny program z dziedziny aplikacji klient-serwer. Stworzony został przez bliżej nieznany duet programistów: M@niac_Teen & Terminal Crasher. Konfiguracja serwera [domyślnie Server.exe (296 448b), charakterystyczna ikonka Windows – falujące czterokolorowe okienko] na komputerze ofiary odbywa się automatycznie, a sam program nie jest widzialny na pasku zadań czy też liście aktywnych procesów (uruchamianej kombinacją klawiszy: CTRL+ALT+DEL). Włamywacz może również dowolnie zmieniać nazwę pliku serwera. Dostępne funkcje:

otwieranie, zamykanie CD-ROM-u

zapalanie, wygaszanie diod na klawiaturze (CAPS_LOCK i SCROLL_LOCK)

zablokowanie, odblokowanie, zdalne sterowanie kursorem myszy

wyłączenie, włączenie monitora

„zapchanie” drukarki sieciowej

zablokowanie klawiszy systemowych (np. CAPS_LOCK, SCROLL_LOCK)

wyłączenie schowka

włączanie, wyłączanie wygaszacza ekranu

ukrycie lub wyłącznie: paska zadań, przycisku START

usunięcie, zmiana tapety

zmiana czasu i daty systemowej

zamknięcie, odinstalowanie serwera

zamknięcie uruchomionych programów

zamknięcie, zawieszenie, zresetowanie Windows

wyświetlenie okienka dialogowego (CHAT) lub tekstu

pobranie informacji o systemie

zdobycie haseł systemowych

wyświetlenie listy aktywnych procesów

uruchomienie dostępu do dysku twardego ofiary poprzez FTP

odtworzenie pliku dźwiękowego (format WAV)

wykonywanie podstawowych operacji dyskowych na komputerze ofiary

modyfikacja pliku autoexec.bat

uruchamianie aplikacji na serwerze





USUNIĘCIE Z SYSTEMU:

· WinCrash jest wykrywany przez markowe programy antywirusowe

· Nie ma na razie aplikacji wykrywających jego działanie.

· Można go usunąć manualnie: WinCrash instaluje się do katalogu systemowego (może ukrywać się pod różnymi nazwami) i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „MsManager” = „nazwa pliku serwera”. Usuwając ten wpis, resetując komputer i kasując znany plik zabezpieczamy się przed zgubnym działaniem trojana.



8. Web EX 1.2



Aplikacja składa się z następujących plików: klienta Web Ex.exe (96 768b) i serwera Task_bar.exe (115 200b). Ponadto do uruchomienia potrzebne są następujące pliki:

MSVBVM50.dll

MSWINSCK.ocx

MSINET.ocx

które nie są domyślnymi plikami systemowymi. Włamywacz będzie musiał się więc zatroszczyć o to, aby wraz z serwerem umieścić je na komputerze ofiary. Ponadto do programu dołączany jest komponent o nazwie Antidote.exe, który służy do trwałego usunięcia serwera z systemu. Web EX nie jest więc programem przeznaczonym dla „profesjonalnych włamywaczy”, ale raczej eksperymentalnym projektem jego twórcy (o nicku: pc). GUI programu jest łudząco podobne do wcześniejszych wersji NetBusa. Sam program oferuje też niewiele funkcji (głównie mających za zadanie zwrócić uwagę użytkownika na to, że coś nie tak jest z jego systemem). Najciekawszym pomysłem jest zintegrowanie trojana ze stroną internetową jego twórcy – oferuje ona stały serwis podając listę dostępnych w sieci zarażonych komputerów:

wyświetlenie okna dialogowego z komunikatem na serwerze

uruchamianie strony internetowej na serwerze

uruchamianie dowolnej aplikacji

otwieranie, zamykanie CD-ROM-u

wyświetlenie listy aktywnych aplikacji

zapełnienie ekranu ofiary tekstem

rysowanie okręgów wokół kursora myszy

zresetowanie komputera ofiary

zamiana przycisków myszy

wyświetlenie informacji o systemie ofiary

powiadamianie wszystkich chętnych na stronie internetowej autora (http://www.cates.mcmail.com/webex) o obecności w Internecie każdego użytkownika z zainstalowanym koniem trojańskim (sic!)

powiadamianie włamywacza poprzez email o obecności w Internecie ofiary

„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków

wyświetlenie listy adresów IP zarażonych komputerów tworzonej na stronie internetowej autora konia trojańskiego



USUNIĘCIE Z SYSTEMU:

· Web EX nie jest wykrywany przez programy antywirusowe

· Nie ma także na razie aplikacji wykrywających jego działanie.

· Można usunąć go manualnie: WE pozostawia po sobie wpis „RunDl32” = „C:windowssystem ask_bar” (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku: C:WINDOWSSYSTEMTASK_BAR.EXE.





9. EXECUTER 1



Executer to prosta aplikacja klient-serwer. Napisana została przez mało komu znanego człowieka o nicku Lavar. Podobnie jak jej poprzedniczki, składa się z 2 części: serwera [domyślnie: Exec.exe (249 334b)] oraz wyglądającego nietypowo (podobnie jak BO) klienta [domyślnie: Controller.exe (340 992b)]. Dużo trudności użytkownikowi sprawić może wykrycie serwera, który przydziela sobie wolne porty, zmieniając ich wartość za każdym połączeniem W równie nietypowy sposób odbywa się sterowanie aplikacją – opcje wybiera się przemieszczając je z okienka komend (gdzie wyszczególniono wszystkie) do okienka komend przeznaczonych do uruchomienia (uruchomić można jedną lub kilka komend na raz ustalając odstęp czasu. Możliwe jest również „zapętlenie” wykonywanych komend). Na szczęście trojan ma rzucającą się w oczy ikonę: żółto-czerwony napis: „SeEK”. EXECUTER to koń trojański mający głównie na celu utrudnić życie ofiary – stąd wiele funkcji destrukcyjnych:

//DestroyDblClick – wyłączenie podwójnego kliknięcia

//DestroyDesktopColors – zmiana kolorów systemowych na żółty

//DestroyDesktopColors2 – zmiana kolorów systemowych na czarny

//DestroyDesktopColors3 – zmiana kolorów systemowych na niebieski

//DestroyDesktopColors4 - zmiana kolorów systemowych na czerwony

//Disconnect – wyłączenie aplikacji serwera

//DestroyCtrlAltDel – wyłączenie kombinacji klawiszy: CTRL+ALT+DEL

//DestroyCursorPos – ustawienie kursora myszy w pozycji 0,0

//DestroyTrayWnd – ukrycie paska zadań

//DestroyWindows – zresetowanie komputera ofiary

//RestoreDblClick – włączenie podwójnego kliknięcia

//RestoreCtrlAltDel – włączenie kombinacji klawiszy: CTRL+ALT+DEL

//RestoreTrayWnd – przywrócenie paska zadań

//CopyProgramToWindowsDir –skopiowanie serwera do katalogu C:Windows

//AddProgramToStartup – dodanie serwera do Autostartu

//DeleteLogo.Sys – skasowanie C:Logo.sys

//DeleteWin.Com – skasowanie C:WindowsWin.com

//DeleteIo.Sys – skasowanie C:IO.sys

//DeleteSystem.Ini – skasowanie C:WindowsSystem.ini

//DeleteWin.Ini – skasowanie C:WindowsWin.ini

//DeleteConfig.Sys – skasowanie C:Config.sys

//DeleteAutoexec.Bat – skasowanie C:Autoexec.bat

//DeleteCommand.Com – skasowanie C:Command.com

//DeleteRegedit.Exe – skasowanie Regedit.exe

//DeleteTaskman.Exe – skasowanie Taskman.exe

//EnableScreenPaint – włączenie wyświetlania na ekranie ciągu: ('DIE!!! DIE!!! DIE!!!')

//DisableScreenPaint - wyłączenie wyświetlania na ekranie ciągu: ('DIE!!! DIE!!! DIE!!!')

//EnableBeeping - włączenie generowania dźwięków na PC Speakerze

//DisableBeeping - wyłączenie generowania dźwięków na PC Speakerze

W rzeczywistości jest to program bardzo powolny i nieudolny – nie został wyposażony w opcję samodzielnej instalacji na komputerze ofiary. Włamywacz musi dokonać tego manualnie: skopiować serwer na komputer ofiary i dodać go do Autostartu (ułatwieniem dla niego obecność takich funkcji w trojanie), dokonać tego może dopiero po uruchomieniu na komputerze ofiary serwera.



USUNIĘCIE Z SYSTEMU:

· Executer nie jest wykrywany przez programy antywirusowe

· Nie ma także na razie aplikacji wykrywających jego działanie

· Można go usunąć manualnie: koń trojański instaluje się do katalogu Windows jako: Sexec.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „<> EXECUTOR 1” = „C:WindowsSExec.exe”. Usuwając ten wpis, resetując komputer i kasując znany plik usuwamy go na trwałe z systemu.



10. GirlFriend 1.3



Stworzony przez General Failure, koń trojański składa się z dwóch nieodłącznych składników: serwera [nazwanego przez twórców GirlFriend, domyślnie: Windll.exe (331 264b)] oraz klienta [BoyFriend: gf.exe (425 984b)]. Jego funkcje nie są rozbudowane, a on sam służy głównie do wykradania haseł systemowych i wyświetlania komunikatów. Oprócz zdobywania, hasła może wykasować – pod tym względem jest niebezpieczny (zwłaszcza jeśli ofiara ma hasła dostępu do Internetu inne niż „ppp” lub nie pamięta haseł pocztowych w MS OUTLOOK). Ciekawostką jest również kopiowanie odkrytych w systemie haseł do Rejestru Systemowego do klucza: „HKEY_LOCAL_MACHINESoftwareMicrosoftGeneral”. Program oznacza zdobyte hasła lub pola tekstowe we wpisach kolejnymi liczbami, np.: „1”=”Połączenie Dial-up___ppp”.



„Show Passes” – wyświetla listę haseł dostępnych na komputerze ofiary (np. hasła dostępu do Internetu) oraz wszelkich aktywnych pól tekstowych (w tym również zakodowanych ciągiem gwiazdek: *******)

„Send Message” – wyświetlenie na ekranie ofiary okienka dialogowego. Możliwe jest wybranie jednego spośród pięciu rodzajów komunikatów: ostrzeżenia, informacji, błędu, zapytania, zwykłego oraz przetestowanie komunikatu na komputerze włamywacza

„Reset Password List” – kasuje wszystkie hasła systemowe na serwerze

„Custom” – wysłanie jednej z komend do serwera:

TEST? - wysyła do serwera pytanie: „Are you alive?”. Jeśli serwer działa odpowie: „Server is alive!”

ver – wyświetla wersję serwera

KillHER – „zabija” serwer (usuwa serwer z rejestru, ale nie kasuje pliku windll.exe)

{U} - uruchamia na serwerze zadaną stronę internetową (adres zaczyna się od: „http://”)

{S} - odgrywa plik dźwiękowy (format WAV)

{P} - wyświetla plik graficzny (format BMP)

DOWN – wyłącza szukanie haseł na serwerze

UP – włącza szukanie haseł na serwerze

setport - ustawia nowy port



USUNIĘCIE Z SYSTEMU:

· GirlFriend jest wykrywany przez markowe programy antywirusowe

· Nie ma na razie aplikacji wykrywających jego działanie

· Można go usunąć manualnie: koń trojański instaluje się do katalogu Windows jako: Windll.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „Windll.exe” = „C:WindowsWindll.exe”. Usuwając ten wpis, resetując komputer i kasując znany plik usuwamy go na trwałe z systemu.



11. MILLENIUM 1.0



Millenium to milenijny prezent od programisty o nicku DaTa-SuRgE. Tradycyjnie program składa się z dwóch części: niezwykle małego serwera [o wiele mówiącej nazwie SPY: domyślnie plik nazywa się server.exe (48 128b)] oraz klienta [client.exe (164 352b)]. Cechą charakterystyczną serwera jest nietypowa ikona (szara dyskietka z czarno-zieloną etykietą). Dostępne funkcje to:

Zresetowanie, wylogowanie, zamknięcie, uruchomienie w trybie MS-DOS, odłączenie od sieci komputera ofiary

Zamknięcie, uruchomienie, usunięcie serwera

Otwarcie, zamknięcie CD-ROM-u

Włączenie, wyłączenie kombinacji: Ctrl+Alt+Del, Caps Lock, Number Lock

Przejęcie kontroli nad myszką i kursorem ofiary

Podstawowe operacje dyskowe

Przekierunkowanie danych



USUNIĘCIE Z SYSTEMU:

· Millenium nie jest wykrywany przez markowe programy antywirusowe

· Wykrywany jest przez program Millenium Remove

· Można go usunąć manualnie: koń trojański instaluje się do katalogu systemowego Windows jako: reg66.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „Millenium” = „C:windowssystem
eg66.exe”. Jest również jedynym koniem trojańskim, który pozostawia wpis w pliku C:WINDOWSwin.ini w sekcji [windows]: „run=C:windowssystem
eg66.exe”. Usuwając te dwa wpisy, resetując komputer i kasując plik usuwamy go na trwałe z systemu.

12. NetSpy





NetSpy to jedno z najbardziej przebiegłych narzędzi. Jego twórcą jest firma sXi Software. Jest idealnym przykładem konia trojańskiego: wersja dystrybucyjna składa się z aplikacji będącej niczym innym jak programem instalacyjnym o bezpiecznie brzmiącej nazwie SysProtect 98. Niestety zamiast programu instaluje się nam w katalogu C:PROGRAM FILESSYSPROTECT nic poza ... programem deinstalującym aplikację. Tymczasem na naszym dysku pojawia się serwer konia trojańskiego [w katalogu C:WINDOWSSYSTEM jako plik system.exe (312 320b) z ikoną przedstawiającą czterokolorowe okienko Windows z napisem Microsoft Windows. Nic bardziej złudnego...]. Do komunikacji z serwerem służy klient o nazwie: SP_CLIENT.EXE (388 608b). Całość współpracuje z Windowsem 95, 98 i NT. Dostępne funkcje:

apps – pokazuje listę aktywnych aplikacji

cd - zmienia katalog

closedown – zamyka system

dir – lista plików i podkatalogów

getdir – wyświetla obecny katalog

help – podaje wszystkie komendy

login – loguje się do serwera i podaje informacje o jego nazwie, czasie, katalogu Windows

logout – wylogowuje się z serwera

msg | - wyświetla okienko dialogowe

nostart – chowa przycisk START

notask – chowa pasek zadań

shutdown – resetuje Windows

sleep – zwalnia działanie serwera na 10 sekund

start – pokazuje przycisk START

task – pokazuje pasek zadań

type wyświetla zawartość pliku tekstowego

sysinfo – wyświetla informacje o systemie ofiary

win uruchamia komendę DOSową / WINDOWSową



USUNIĘCIE Z SYSTEMU:

· NetSpy nie jest wykrywany przez programy antywirusowe

· Nie ma na razie aplikacji wykrywających jego działanie

· Należy wystrzegać się programu instalacyjnego o nazwie SysProtect 98

· Usunięcie manualne: NetSpy instaluje się jako C:WINDOWSSYSTEMsystem.exe. pozostawia też po sobie wpis „SysProtect”=” C:WINDOWSSYSTEMSYSTEM.EXE” w kluczach: HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Usuwając wpisy, resetując komputer i kasując plik usuwamy go na trwałe z systemu.





13. SK Silencer 1.01





Silencer to najnowszy produkt ze stajni The SmithKlan. Jest jednym z najmniejszych koni trojańskich mających własnego klienta. Nazwą domyślną serwera jest server.exe (34 304b), ale można ją zmieniać. Ma on charakterystyczną ikonę – czerwony trójkąt równoboczny z białym wykrzyknikiem wewnątrz. Klient jest dwa razy większy (78 336b) i ma „radioaktywną” ikonę. Program nie jest zbytnio rozbudowany. Jest to również jedyny backdoor ze standardowym GUI – wyglądającym jak większość aplikacji windowsowych. Współpracuje z Windowsem 95 i 98. Dysponuje jedynie kilkoma standardowymi funkcjami, jednak na uwagę zasługuje opcja wykradająca hasła ICQ.

Chat – uruchamia CHATA między serwerem a komputerem włamywacza

Send KeyStrokes – wysyła kombinację klawiszy

ICQPassJack – zdobywa hasła ICQ

Run Application – uruchamia aplikację na serwerze

Send Msg – wyświetla na serwerze okno dialogowe z dowolną informacją

Hide Taskbar – ukrywa pasek zadań

Disable Ctrl-Alt-Del – wyłącza kombinację Ctrl-Alt-Del

Ping Pong Virus – pokazuje na serwerze piłeczkę pingpongową odbijającą się od krawędzi ekranu

Reboot – resetuje komputer ofiary

Run Screensaver – włącza wygaszacz ekranu

Show Shutdown Menu – uruchamia procedurę zamknięcia systemu



USUNIĘCIE Z SYSTEMU:

· SK Silencer jest wykrywany przez markowe programy antywirusowe

· Nie ma na razie aplikacji wykrywających jego działanie

· Usunięcie manualne: SK Silencer nie ma opcji pozwalającej na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedy standardowa procedura, wszystko zależy od jego inwencji). Należy się wystrzegać plików z ikoną i rozmiarem, jak opisane wyżej. Po odkryciu na swoim dysku opisanego serwera należy uruchomić program regedit.exe i znaleźć wpis będący ścieżką do serwera, usunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.





14. StealthSpy



W przeciwieństwie do większości koni trojańskich StealthSpy nie jest anonimowy. Jego twórcą jest człowiek o miłym dla słowiańskiego ucha nazwisku – Andrei Birjukov. I chociaż programy rosyjskich twórców należą do czołówki najlepszych, to jednak ten pozostawia trochę do życzenia (chociaż sam autor zastrzega, że jest to dopiero wersja BETA 3). Rzeczywiście, niżej podpisany zdobył wersję roboczą, w której istnieje wiele „białych plam”, a użycie niektórych opcji kończy wykonywanie programu poprzez jego wyłączenie. Nieobce są również komentarze odautorskie pokazywane przez aplikację zamiast oczekiwanych funkcji. Mimo tych niedociągnięć należy spodziewać się kolejnego, ale na szczęście niezbyt groźnego, konia trojańskiego. W wersji BETA 3 składa się on z następujących plików: serwera o nazwie telserv.exe (235 520b), biblioteki tserv.dll, pliku wsadowego doscmd.bat odpowiedzialnego za wykonywanie komend dosowych, klienta telman.exe (137 216b), który wymaga biblioteki MSVBVM50.DLL oraz pliku MSWINSCK.OCX. Koń trojański ma następujące (ubogie) funkcje:

screenshot (zrzut ekranu)

menedżer plików (kopiowanie plików na i z serwera)

uruchamianie komend dosowych

zamykanie aplikacji

wyświetlanie na serwerze okienka dialogowego

zresetowanie komputera ofiary



USUNIĘCIE Z SYSTEMU:

· StealthSpy nie jest wykrywany przez programy antywirusowe

· Nie ma na razie także aplikacji wykrywających jego działanie

· Usunięcie manualne: StealthSpy nie ma opcji pozwalającej na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedy standardowa procedura, wszystko zależy od jego inwencji). Jest to jedyny koń trojański, którego serwer jest widoczny po wciśnięciu kombinacji klawiszy: CTRL+ALT+DEL (rysunek). Po odkryciu na swoim dysku opisanego serwera należy uruchomić program regedit.exe i znaleźć wpis (jeśli wpis istnieje) będący ścieżką do serwera, usunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.





15. Telecommando v1.5.4



Napisany przez osobę o nicku Night Navigator koń trojański jest bardzo dziwnym, ale nie można powiedzieć, że oryginalnym, programem. Po pierwsze: aby wykonać dowolną funkcję, należy wziąć na siebie całą odpowiedzialność za jej działanie – stąd idące w nieskończoność akceptowanie komunikatu : „I Agree”. Po drugie: program wyłącza kombinację klawiszy: Ctrl+Esc i Alt+Ctrl+Del. Trzecim „pomysłem” autora jest zablokowanie komend przed połączeniem się z serwerem, z którym [domyślnie nazywa się teleserv.exe (211 456b), ale może przyjmować dowolną nazwę] można się komunikować na dwa sposoby: albo wypisując komendy, albo wybierając je z listy, podając przy tym niezbędne parametry:

Dialog Boxes – wyświetla okno dialogowe z tekstem

Get Logical Drives – wyświetla listę dysków logicznych

Hide/Show the Start Button – chowa, pokazuje przycisk START

Hide/Show the Taskbar – chowa, pokazuje pasek zadań

Hide/Show Desktop – chowa, pokazuje pulpit

Shutdown Server – usuwa serwer w danej sesji Windows

Uninstall Server – odinstalowuje serwer

Password Status – powiadamia o zmianie haseł przez ofiarę podczas sesji serwera

Password Change – zmienia hasło

Password Delete – usuwa hasło

Execute Normal – uruchamia program jako widoczny dla ofiary

Execute Minimized – uruchamia program jako zminimalizowany

Execute Maximized - uruchamia program jako zmaksymalizowany

Execute Hidden – uruchamia program jako niewidoczny dla ofiary

List 32bit Process – wyświetla listę 32-bitowych aplikacji

Kill 32bit Process – zabija 32-bitowy proces

Get Users Name – wyświetla nazwę użytkownika

Get Computers Name – wyświetla nazwę serwera

Get Users Date & Time – wyświetla datę i czas z serwera

Logoff User – wylogowuje ofiarę

Reboot User – resetuje komputer ofiary

Shutdown User – zamyka komputer ofiary

Change Dir – zmienia katalog na podany w linii komend

Make Dir – tworzy katalog

Remove Dir – kasuje katalog

Delete File – kasuje plik

List Files – wyświetla listę plików w katalogu

Get Current Directory – wyświetla nazwę obecnego katalogu

Misc – dzieli ekran na części, które później miesza ze sobą

Star On/Off – podobne do gwiezdnego wygaszacza



USUNIĘCIE Z SYSTEMU:

· Telecommando nie jest wykrywany przez programy antywirusowe

· Nie ma na razie aplikacji wykrywających jego działanie

· Usunięcie manualne: Telecommando instaluje się jako C:WINDOWSSYSTEMODBC.EXE. Pozostawia też po sobie wpis „SystemApp”=” ODBC.EXE” w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.



16. GateCrasher 1.1



GC jest narzędziem napisanym w całości w języku Visual Basic. Znani są dwaj twórcy trojana, którzy ukrywają się pod pseudonimami: KillBoy i ExCon. Jest też jedynym koniem trojańskim, który może infekować komputer ofiary na dwa sposoby: klasycznie jako aplikacja lub dostarczany jest jako dokument MS Word (w wersji 97) z makrem. Będąc podłączonym do Internetu lub pracując w sieci lokalnej użytkownik jest narażony na kontakt z aplikacją, która przejmuje kontrolę nad takimi platformami, jak: Windows 95, 98 i NT. Zarażony dokument można o trzymać na wiele sposobów. Może być: dołączany do listu email, powszechny na IRC i w CHAT ROOMach, wykorzystywać „dziury” w popularnych przeglądarkach internetowych. Domyślnie instaluje się na porcie 6969, ale może korzystać z każdego innego.

W skład programu wchodzą następujące pliki:

TCP.exe – plik wspomagający TCP/IP (nic nie robi)

Port.dat – plik z danymi serwera, może przybrać nazwę Port.exe lub Port.doc w zależności od sposobu instalacji na komputerze ofiary

GC.exe – klient

Cleaner.exe – program usuwający serwer z systemu

MsWinsck.ocx – kontrolka Winsock ActiveX używana do komunikacji przez protokół TCP/IP pomiędzy serwerem a klientem

MSVBVM60.DLL – biblioteka Visual Basic 6.0 Enterprise

Inet.drv – Agent wykrywający połączenie - otwiera serwer

Dostępne opcje:

Clear Recent Folder – kasuje folder RECENT (z ostatnio uruchomionymi dokumentami)

Close CD – zamyka CD-ROM

Close The Server – zamyka serwer

Close Windows – zamyka sesję Windows

Crazy Mouse Start– przejmuje kontrolę nad myszką użytkownika

Crazy Mouse Stop – przywraca kontrolę nad myszką użytkownika

Delete Directory – kasuje katalog

Delete File – kasuje plik

Fill Drive – zapełnia dysk tworząc na nim pliki

Format Drive – formatuje dysk

Get Active Windows – wyświetla listę aktywnych aplikacji

Get Computer Name – wyświetla nazwę komputera ofiary

Get Disk Serial # - wyświetla informację o numerze seryjnym dysku twardego ofiary

Get Free Space – wyświetla informację o ilości wolnego miejsca na dysku

Get HD Letter - wyświetla literę dysku lokalnego

Get ICQ UIN – wyświetla numer ICQ

Get Local Time – wyświetla obecny czas na serwerze

Get Organization – wyświetla informację o organizacji właściciela Windows

Get OS - wyświetla informację o wersji Windows

Get Owner – wyświetla informację o właścicielu Windows

Get Server Path - wyświetla ścieżkę gdzie znajduje się serwer

Get System Directory - wyświetla nazwę katalogu systemowego

Get Temp Directory - wyświetla nazwę katalogu tymczasowego

Get User - wyświetla nazwę aktualnego użytkownika

Get Windows Directory – wyświetla nazwę katalogu Windows

Hide Mouse – ukrywa kursor myszki

Hide Task Bar – ukrywa pasek zadań

Kill Window – zamyka aplikację

List File in Directory – wyświetla listę plików w katalogu

Log Off – wylogowuje ofiarę

Make Directory – tworzy katalog na serwerze

Open CD – otwiera CD-ROM

Open Control Panel – otwiera Panel Sterowania

Open Date/Time – otwiera Właściwości Daty/Godziny

Open FTP Server – otwiera na porcie 6970 serwer FTP, daje włamywaczowi możliwość: wyświetlania zawartości katalogu, odczytywania, zapisywania, kasowania plików, tworzenia, kasowania katalogów.

Open Webbrowser – uruchamia stronę internetową w domyślnej przeglądarce

PING! – wysyła pakiet danych na serwer

Read from Drive A: - odczytuje stację dysków na serwerze

Reboot Computer – resetuje komputer

Search For File – szuka pliku na komputerze ofiary

Send Message – wysyła komunikat

Send Text – wysyła tekst do aktywnego na serwerze okienka tekstowego

Set Computer Name – zmienia nazwę komputera użytkownika

Set VolumeLabel For C – ustawia etykietę dysku C:

Show Mouse – pokazuje kursor myszki

Show Task Bar – pokazuje pasek zadań

ShutDown – resetuje komputer

Start Program – uruchamia program na komputerze ofiary

Start Screen Saver – uruchamia wygaszacz ekranu

Switch Window – zmienia dane okno na aktywne



USUNIĘCIE Z SYSTEMU:

· GateCrasher nie jest wykrywany przez programy antywirusowe

· Aplikacją wykrywającą jego działanie jest BOClean 2.01 oraz GateCleaner

· Usunięcie manualne: GateCrasher instaluje się jako C:WINDOWSEXPLORE.EXE. Pozostawia też po sobie wpis „Explore”=” EXPLORE.EXE” w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.



17. phAse zero 1.0



Twórcą phAse’a jest Njord z grupy Kr0me Corp. Podobnie jak większość koni trojańskich, tak i ten jest przeznaczony na platformy 32-bitowe (a więc będzie działał zarówno pod Windowsem 98, jak i 98 oraz NT). Trojan ma kilka przydatnych włamywaczowi funkcji, np. ma wbudowanego klienta FTP (przeznaczonego do wykonywania operacji dyskowych na komputerze ofiary), możliwość dokonywania zmian w Rejestrze Systemowym ofiary, tzw. IP maskę, czyli dopuszczanie do połączenia się z serwerem osób mających mniej lub bardziej ściśle określony adres IP (np. zawężając kolejno od najmniej określonego: 128.1, 128.12, 128.12.1, 128.12.13, 128.12.13.1), możliwość konfiguracji: wpisu w rejestrze, nazwy pliku i portu serwera poprzez program instalacyjny. Dużym utrudnieniem w manualnym wykryciu zainstalowanego do systemu konia trojańskiego jest jego zmienna wielkość. Domyślnie instaluje się on na porcie 555. Dostępne funkcje:

ftp upload – zgrywa pliki na komputer ofiary

ftp download – ściąga pliki z komputera ofiary

execute – uruchamia aplikację na serwerze (widoczną lub nie dla użytkownika)

change directory – zmienia katalog

list directory – wyświetla listę katalogów

create directory – tworzy katalog

remove directory – usuwa , zmienia nazwę katalogu

show current dir

copy file – kopiuje plik

move file – przenosi plik

rename file – zmienia nazwę pliku

delete file – kasuje plik

type file – wyświetla zawartość pliku tekstowego

hex type file – wyświetla zawartość pliku binarnego

show dialog box – pokazuje okienko dialogowe z tekstem na serwerze

lockup server – blokuje serwer

reg create key – tworzy klucz w rejestrze systemowym

reg delete key – kasuje klucz w rejestrze systemowym

reg delete value – kasuje wpis w rejestrze

reg check key – sprawdza istnienie klucza lub wpisu

reg set current key – ustawia dany klucz jako otwarty

reg read key value – odczytuje dany wpis w kluczu

reg write key value – tworzy wpis w kluczu

reg list keys – wypisuje dostępne podklucze w otwartym kluczu

reg list values – wypisuje dostępne wpisy w otwartym kluczu

terminate session – kończy sesję serwera

unload server – kończy sesję serwera i odinstalowuje serwer



USUNIĘCIE Z SYSTEMU:

· phAse zero jest wykrywany przez markowe programy antywirusowe

· Nie ma na razie aplikacji wykrywających jego działanie.

· Usunięcie manualne: phAse zero instaluje się jako C:WINDOWSEXPLORE.EXE. Pozostawia też po sobie wpis w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.





NAJCZĘŚCIEJ UŻYWANE PRZEZ KONIE TROJAŃSKIE PORTY:

31 – Master’s Paradise

555 – StealthSpy, phAse

1001 – Web EX

1025 – NetSpy

1981 – Bowl

1999 – Backdoor 2

5000 – Sockets de Troie

6969 – GateCrasher

12345 – NetBus

12346 – NetBus

21554 – GirlFriend

31337 – BO, T5Port

33333 – Prosiak

40421 – Master’s Paradise

40426 – Master’s Paradise

44444 – Prosiak















Czy tekst był przydatny? Tak Nie

Czas czytania: 51 minut

Ciekawostki ze świata