TROJANY, część 1/5 OPIS NAJPOPULARNIEJSZYCH KONI TROJAŃSKICHPrzedstawiam opisy 20 najpospolitszych koni trojańskich (wraz z różnymi ich wersjami), na które natknąć może się użytkownik. Zdaję sobie sprawę z tego, iż nie są to wszystkie backdoory, jakie się pojawiły w sieciach komputerowych, jednakże opisane zostały te z nich, które są najpopularniejsze. Programy zostały podzielone na dwie kategorie:
- aplikacje nie mające GUI, a więc takie, których klientem jest program Telnet,
- aplikacje z własnym GUI, składające się z dwóch części: instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym na komputerze włamywacza. APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ TELNET: 1. T5Port 1.0Mały (18432 B) koń trojański, autorem którego jest bliżej nie znany osobnik o nicku (icta). Najprostszy z trojanów w swojej kategorii, jeden z pierwszych. Nie ma żadnego programu instalacyjnego czy też konfiguracyjnego. Zajmuje port 31337 na komputerze ofiary. Połączenie odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet przez wybieranie w menu Połącz opcję System Zdalny i wpisaniu w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 31337. Po nawiązaniu łączności wpisujemy domyślne hasło, którego zmienić nie można. Jest nim kojarzące się jednoznacznie słowo "satan". Uruchomiony na komputerze ofiary aktywny jest tylko przez czas trwania sesji Windows. Aby się w nim zagnieździć, potrzebny jest ręczny wpis do Rejestru Systemowego. Oznacza to, iż łatwo go dezaktywować, ale znacznie trudniej wykryć w systemie (włamywacz może nadać mu taką nazwę, jaka tylko mu przyjdzie na myśl). Jest on niezbyt rozbudowany, o czym świadczą komendy podobne do tych, które znamy z systemu MS-DOS:
- exec ... - uruchamia aplikację na komputerze ofiary,
- cmd ... - uruchamia komendę systemową,
- annoy - wyświetla komunikat o błędzie,
- shutdown - resetuje komputer ofiary,
- exit - zamyka sesję,
- die - "zabicie" sesji serwera (usunięcie go z pamięci),
- help - wyświetlenie pomocy. USUNIĘCIE Z SYSTEMU:T5Port nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:
1) Sprawdź za pomocą skanera portów, czy jest otwarty port 31337 (uwaga: ten port jest również używany przez Back Orifice'a). Jeśli jest, wówczas musisz sprawdzić, jakie są uruchomione procesy w obecnej sesji Windows (opisane wyżej w dziale USUWANIE RĘCZNE). Ustal, jak nazywa się potencjalny trojan (nie jest możliwe dokładne ustalenie nazwy - każdy z uruchomionych programów może być backdoorem). Jeśli znasz już nazwę pliku, to poszukaj go na twoich dyskach lokalnych i porównaj z podanym wyżej rozmiarem. Jeśli będzie pasował - masz 90-cio% szansę, że jest to trojan (jeśli nie - to nim nie jest lub jest to inna wersja). Następnie uruchom Edytor Rejestru (pamiętaj o sporządzeniu kopii plików systemowych) i znajdź klucz o nazwie takiej jak nazwa pliku (powinien być w: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN lub ~\RUNONCE, lub ~\RUNSERVICES itp.). Skasuj klucz będący nazwą ustalonego pliku. Jeśli w katalogach RUN, RUNONCE, RUNSERVICES, itp. nie ma takiej nazwy, to masz ułatwione zadanie - trojan nie jest zapisany do Rejestru i wystarczy zresetować Windows, aby zginął śmiercią naturalną.
2) Zresetuj system.
3) Po ponownym uruchomieniu odszukaj backdoora na twoim dysku lokalnym i usuń go do kosza - jeśli system skasuje go, to pozbyłeś się trojana. W przeciwnym wypadku poinformuje ciebie, że "podany plik jest używany przez system Windows". Trzeba więc znowu wrócić do pierwszego kroku i zlokalizować trojana (przywracając skasowany plik i pliki rejestru z uprzednio stworzonego katalogu zapasowego). 2. BOWL 1.0Autorem programu jest osoba o niewiele mówiącym nicku: !brainwat. Program składa się z dwóch plików: głównego o nazwie bowl.exe (38912 B) i pomocniczego służącego do konfiguracji o nazwie config.exe (15360 B). Konfiguracja polega na ustawieniu hasła serwera (domyślnym hasłem jest allnewbowl) i zainstalowaniu go w systemie. Komunikacja z serwerem odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet wybierając w menu Połącz opcję System Zdalny i wpisując w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 1981. Po nawiązaniu łączności wpisujemy skonfigurowane wcześniej hasło. Po tym zabiegu powinien w naszym oknie telnetowym pokazać się serwer Bowla, który poda konfigurację systemu ofiary. W przypadku błędnego hasła połączenie zostanie zerwane. Komendy wydawane są na wzór MS-DOS-a. Dostępne polecenia to:
- beep - generuje sygnał dźwiękowy,
- cat - wyświetlenie zawartości plików,
- cd/chdir - przechodzenie między katalogami,
- clear - wyczyszczenie ekranu,
- cmd[v] - uruchamia niewidzialnego dla ofiary command.com-a [Tryb MS-DOS],
- cmdr - uruchomienie programu i wypisanie rezultatu po jego zakończeniu (przerwanie - klawisz ESC),
- del/rm - usunięcie pliku/plików,
- die - "zabicie" sesji serwera (usunięcie go z pamięci),
- dir/ls - wyświetlenie istniejących katalogów,
- errormsg - wyświetla komunikat o błędzie,
- exec[v] - uruchamia program niewidzialny dla ofiary [widzialny],
- freeze - zawiesza system ofiary,
- get - ściągnięcie pliku z komputera ofiary (włamywacz uruchamia u siebie przeglądarkę - internetową i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku),
- graphoff - wyłącza tryb graficzny,
- kill - "zabija" aktywny proces,
- md/mkdir - stworzenie katalogu,
- passwd - wypisuje hasła: MS Internet Mail, Netscape Navigator oraz zasobów sieciowych,
- ps - lista aktywnych procesów (nazwa procesu | numer procesu | ścieżka dostępu programu),
- quit - zamknięcie klienta,
- rd/rmdir - usunięcie pustych katalogów,
- shutdown - resetowanie komputera ofiary,
- swapmouse - zamiana klawiszy myszki,
- telnet - łączenie się telnetem z innym hostem,
- vied - prosty edytor tekstu (do 1024 linii i 256 znaków na każdą). USUNIĘCIE Z SYSTEMU:Bowl nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:
1) Usuń z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices wpis: "NetworkPopup".
2) Zresetuj system.
3) Usuń plik C:\WINDOWS\netpopup.exe.
4) Zobacz, czy na twoim dysku nie ma pliku bowl.exe. 3. ACID SHIVERAS to potężne narzędzie służące nie tylko do przejmowania kontroli nad czyimś komputerem, ale również do generowania konia trojańskiego, który zostanie uruchomiony na komputerze ofiary. Pakiet składa się z dwóch części: aplikacji konfiguracyjnej [domyślnie nazywa się: ACiD Setup.exe (14336 B)] oraz serwera [domyślnie: AciDShivers.exe (186368 B)]. Za pomocą pierwszej włamywacz tworzy dowolnie nazywający się plik, w skład którego wchodzą: serwer oraz takie dane, jak: serwer SMTP (służący do przesyłania poczty) i adres e-mailowy włamywacza. Aplikacja ma ikonę łudząco przypominającą programy instalacyjne dystrybuowane przez Microsoft. Backdoor wyróżnia się na tle innych: aplikacja próbuje w każdej sesji Windows połączyć się ze skonfigurowanym przez włamywacza serwerem pocztowym i wysłać na podany przez niego adres informację o posiadanym przez ofiarę numerze IP oraz porcie, przez który możliwa będzie komunikacja (port ten zmienia się za każdym razem!). Na nic więc się przyda w sieci lokalnej nie osiadającej własnego serwera pocztowego. Na dodatek AS to projekt otwarty: udostępniany jest wraz z kodem źródłowym i każdy użytkownik-programista może dodać coś od siebie. Na szczęście AS wykrywany jest przez większość markowych programów antywirusowych. Serwer potrzebuje do działania następujące pliki: MSvbvm50.dll oraz MSwinsck.ocx. Autor zetknął się z następującymi komendami (AS szybko ewoluuje w Internecie):
- Help (komenda) - pomoc (szczegółowa),
- BEEP <#> - generuje #-razy dźwięk,
- BOUNCE - przekierunkowanie połączenia na dany host i port,
- CAT - wyświetla zawartość pliku,
- CD - zmiana katalogu,
- CLS - czyszczenie ekranu,
- CMD - uruchamia komendę,
- COPY - kopiuje plik1 na plik2,
- DATE - pokazuje datę,
- DEL - skasowanie pliku,
- DESK - zmienia na domyślny katalog z zawartością Pulpitu,
- DIE - wyłącza AS,
- DIR - wyświetla listę katalogów,
- DRIVE - podaje informację o napędzie,
- DRIVES - wyświetla dyski fizyczne, RAM-dyski, CD-ROM-y, sieciowe,
- ENV - wyświetla zmienne systemowe DOS-a,
- GET - ściąga z serwera plik,
- HIDE - schowanie aplikacji o danym (identyfikatorze) widocznej w menedżerze programów - (lista aplikacji pokazująca się po wciśnięciu kombinacji: CTRL+ALT+DEL),
- INFO - pokazuje informację o komputerze ofiary i użytkowniku,
- KILL - "zabicie" aktywnego procesu,
- LABEL - zmienia etykietę dysku,
- LS - to samo co DIR,
- MKDIR - zakłada katalog,
- NAME - zmienia nazwę komputera ofiary,
- PORT <#> - zmiana portu AS (dostępny po zresetowaniu serwera),
- PS - lista aktywnych procesów,
- RMDIR - przenosi katalog wraz z podkatalogami i plikami,
- S - wysyła kombinację klawiszy do aktywnej aplikacji,
- SH - jw. i pokazuje rezultat,
- SHOWs - pokazanie aplikacji j/w,
- SHUTDOWN - resetuje serwer,
- TIME - pokazuje czas,
- VERSION - pokazuje numer wersji AS. USUNIĘCIE Z SYSTEMU:1) AS jest wykrywany przez markowe programy antywirusowe.
2) Nie ma na razie aplikacji wykrywających jego działanie.
3) Można usunąć go manualnie: AS pozostawia po sobie wpis "Explorer" = "C:\WINDOWS\MSGSVR16.EXE" (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices. Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku C:\WINDOWS\MSGSVR16.EXE.
Istnieje również zmieniona przez LEENTech Corporation (Living in an Evolution of Enhanced Networking Technology) wersja AcidShiver. Różni się nie tylko wielkością serwera (188416 B), ale również jego nazwą (tour98.exe) i wpisem "WinTour" = "C:\WINDOWS\WINTOUR.EXE" w rejestrze (w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run i HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices). Dodano również nowe funkcje:
- BCAT lub BGET - wyświetla zawartość pliku binarnego,
- MACADDR - pokazuje status połączenia ethernetowego,
- RECENT - kasuje folder RECENT (z ostatnio uruchomionymi dokumentami),
- STATUS - pokazuje status wszystkich używanych od początku sesji Windows portów,
- WSFTP - ustawia domyślny folder WS_FTP.
Nowy AS nie jest jeszcze wykrywany przez programy antywirusowe (Autor ma programu Norton AntiVirus z sygnaturą z dnia 26 marca 1999 r., nowa wersja AS testowana była dnia 7 kwietnia 1999 r.). JaroChwat Artykuł zamieszczony na podstawie wymiany z magazynem @t - http://www.at.bjn.pl |
