Przedstawiam opisy 20 najpospolitszych koni trojańskich (wraz z różnymi ich wersjami) na które natknąć może się użytkownik. Autor zdaje sobie sprawę z tego, iż nie są to wszystkie backdoory, jakie się pojawiły w sieciach komputerowych, jednakże opisane zostały te z nich, które są najpopularniejsze. Programy zostały podzielone na dwie kategorie:
• Aplikacje nie mające GUI, a więc takie, których klientem jest program Telnet
• Aplikacje z własnym GUI, składające się z dwóch części: instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym na komputerze włamywacza
APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ TELNET:
1. T5Port 1.0
Mały (18 432B) koń trojański, autorem którego jest bliżej nie znany osobnik o nicku (icta). Najprostszy z trojanów w swojej kategorii, jeden z pierwszych. Nie ma żadnego programu instalacyjnego czy też konfiguracyjnego. Zajmuje port 31337 na komputerze ofiary. Połączenie odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet przez wybieranie w menu Połącz opcję System Zdalny i wpisaniu w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 31337. Po nawiązaniu łączności wpisujemy domyślne hasło, którego zmienić nie można. Jest nim kojarzące się jednoznacznie słowo „satan”. Uruchomiony na komputerze ofiary aktywny jest tylko przez czas trwania sesji Windows. Aby się w nim zagnieździć, potrzebny jest ręczny wpis do Rejestru Systemowego. Oznacza to, iż łatwo go dezaktywować, ale znacznie trudniej wykryć w systemie (włamywacz może nadać mu taką nazwę, jaka tylko mu przyjdzie na myśl). Jest on niezbyt rozbudowany, o czym świadczą komendy podobne do tych, które znamy z systemu MS-DOS:
exec ... – uruchamia aplikację na komputerze ofiary
cmd ... – uruchamia komendę systemową
annoy – wyświetla komunikat o błędzie
shutdown – resetuje komputer ofiary
exit – zamyka sesję
die – „zabicie” sesji serwera (usunięcie go z pamięci)
help – wyświetlenie pomocy
USUNIĘCIE Z SYSTEMU:
T5Port nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:
• Sprawdź za pomocą skanera portów, czy jest otwarty port 31337 (uwaga: ten port jest również używany przez Back Orifice’a). Jeśli jest, wówczas musisz sprawdzić, jakie są uruchomione procesy w obecnej sesji Windows (opisane wyżej w dziale USUWANIE RĘCZNE). Ustal, jak nazywa się potencjalny trojan (nie jest możliwe dokładne ustalenie nazwy – każdy z uruchomionych programów może być backdoorem). Jeśli znasz już nazwę pliku, to poszukaj go na twoich dyskach lokalnych i porównaj z podanym wyżej rozmiarem. Jeśli będzie pasował – masz 90-cio % szansę, że jest to trojan (jeśli nie – to nim nie jest lub jest to inna wersja). Następnie uruchom Edytor Rejestru (pamiętaj o sporządzeniu kopii plików systemowych) i znajdź klucz o nazwie takiej jak nazwa pliku (powinien być w: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN lub ~\RUNONCE, lub ~\RUNSERVICES itp.). Skasuj klucz będący nazwą ustalonego pliku. Jeśli w katalogach RUN, RUNONCE, RUNSERVICES, itp. nie ma takiej nazwy, to masz ułatwione zadanie – trojan nie jest zapisany do Rejestru i wystarczy zresetować Windows, aby zginął śmiercią naturalną.
• Zresetuj system
• Po ponownym uruchomieniu odszukaj backdoora na twoim dysku lokalnym i usuń go do kosza – jeśli system skasuje go, to pozbyłeś się trojana. W przeciwnym wypadku poinformuje ciebie, że „podany plik jest używany przez system Windows”. Trzeba więc znowu wrócić do pierwszego kroku i zlokalizować trojana (przywracając skasowany plik i pliki rejestru z uprzednio stworzonego katalogu zapasowego)
2. BOWL 1.0
Autorem programu jest osoba o niewiele mówiącym nicku: !brainwat. Program składa się z dwóch plików: głównego o nazwie bowl.exe (38 912b) i pomocniczego służącego do konfiguracji o nazwie config.exe (15 360b). Konfiguracja polega na ustawieniu hasła serwera (domyślnym hasłem jest allnewbowl) i zainstalowaniu go w systemie. Komunikacja z serwerem odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet wybierając w menu Połącz opcję System Zdalny i wpisując w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 1981. Po nawiązaniu łączności wpisujemy skonfigurowane wcześniej hasło. Po tym zabiegu powinien w naszym oknie telnetowym pokazać się serwer Bowla, który poda konfigurację systemu ofiary. W przypadku błędnego hasła połączenie zostanie zerwane. Komendy wydawane są na wzór MS DOSa. Dostępne polecenia to:
beep – generuje sygnał dźwiękowy
cat - wyświetlenie zawartości plików
cd/chdir - przechodzenie między katalogami
clear – wyczyszczenie ekranu
cmd[v] – uruchamia niewidzialnego dla ofiary command.com-a [Tryb MS-DOS]
cmdr – uruchomienie programu i wypisanie rezultatu po jego zakończeniu (przerwanie – klawisz ESC)
del/rm – usunięcie pliku/plików
die – „zabicie” sesji serwera (usunięcie go z pamięci)
dir/ls – wyświetlenie istniejących katalogów
errormsg – wyświetla komunikat o błędzie
exec[v] - uruchamia program niewidzialny dla ofiary [widzialny]
freeze – zawiesza system ofiary
get – ściągnięcie pliku z komputera ofiary (włamywacz uruchamia u siebie przeglądarkę internetową i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku)
graphoff – wyłącza tryb graficzny
kill – „zabija” aktywny proces
md/mkdir – stworzenie katalogu
passwd – wypisuje hasła: MS Internet Mail, Netscape Navigator oraz zasobów sieciowych
ps – lista aktywnych procesów (nazwa procesu | numer procesu | ścieżka dostępu programu)
quit – zamknięcie klienta
rd/rmdir – usunięcie pustych katalogów
shutdown – resetowanie komputera ofiary
swapmouse – zamiana klawiszy myszki
telnet – łączenie się telnetem z innym hostem
vied – prosty edytor tekstu (do 1024 linii i 256 znaków na każdą)
USUNIĘCIE Z SYSTEMU:
Bowl nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:
• usuń z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices wpis: „NetworkPopup”
• zresetuj system
• usuń plik C:\WINDOWS\netpopup.exe
• zobacz, czy na twoim dysku nie ma pliku bowl.exe
3. ACID SHIVER
AS to potężne narzędzie służące nie tylko do przejmowania kontroli nad czyimś komputerem, ale również do generowania konia trojańskiego, który zostanie uruchomiony na komputerze ofiary. Pakiet składa się z dwóch części: aplikacji konfiguracyjnej [domyślnie nazywa się: ACiD Setup.exe (14 336b)] oraz serwera [domyślnie: AciDShivers.exe (186 368b)]. Za pomocą pierwszej włamywacz tworzy dowolnie nazywający się plik, w skład którego wchodzą: serwer oraz takie dane, jak: serwer SMTP (służący do przesyłania poczty) i adres emailowy włamywacza. Aplikacja ma ikonę łudząco przypominającą programy instalacyjne dystrybuowane przez Microsoft. Backdoor wyróżnia się na tle innych: aplikacja próbuje w każdej sesji Windows połączyć się ze skonfigurowanym przez włamywacza serwerem pocztowym i wysłać na podany przez niego adres informację o posiadanym przez ofiarę numerze IP oraz porcie, przez który możliwa będzie komunikacja (port ten zmienia się za każdym razem!). Na nic więc się przyda w sieci lokalnej nie osiadającej własnego serwera pocztowego. Na dodatek AS to projekt otwarty: udostępniany jest wraz z kodem źródłowym i każdy użytkownik-programista może dodać coś od siebie. Na szczęście AS wykrywany jest przez większość markowych programów antywirusowych. Serwer potrzebuje do działania następujące pliki: MSvbvm50.dll oraz MSwinsck.ocx. Autor zetknął się z następującymi komendami (AS szybko ewoluuje w Internecie):
Help (komenda) – pomoc (szczegółowa)
BEEP <#> - generuje #-razy dźwięk
BOUNCE - przekierunkowanie połączenia na dany host i port
CAT - wyświetla zawartość pliku
CD - zmiana katalogu
CLS – czyszczenie ekranu
CMD - uruchamia komendę
COPY - kopiuje plik1 na plik2
DATE – pokazuje datę
DEL - skasowanie pliku
DESK – zmienia na domyślny katalog z zawartością Pulpitu
DIE – wyłącza AS
DIR – wyświetla listę katalogów
DRIVE - podaje informację o napędzie
DRIVES – wyświetla dyski fizyczne, ram-dyski, CD-ROM-y, sieciowe
ENV – wyświetla zmienne systemowe DOS-a
GET - ściąga z serwera plik
HIDE - schowanie aplikacji o danym (identyfikatorze) widocznej w menedżerze programów (lista aplikacji pokazująca się po wciśnięciu kombinacji: CTRL+ALT+DEL)
INFO – pokazuje informację o komputerze ofiary i użytkowniku
KILL – „zabicie” aktywnego procesu
LABEL - zmienia etykietę dysku
LS – to samo co DIR
MKDIR - zakłada katalog
NAME - zmienia nazwę komputera ofiary
PORT <#> - zmiana portu AS (dostępny po zresetowaniu serwera)
PS – lista aktywnych procesów
RMDIR - przenosi katalog wraz z podkatalogami i plikami
S – wysyła kombinację klawiszy do aktywnej aplikacji
SH - jw. i pokazuje rezultat
SHOWs - pokazanie aplikacji jw.
SHUTDOWN – resetuje serwer
TIME – pokazuje czas
VERSION – pokazuje numer wersji AS
USUNIĘCIE Z SYSTEMU:
• AS jest wykrywany przez markowe programy antywirusowe
• Nie ma na razie aplikacji wykrywających jego działanie.
• Można usunąć go manualnie: AS pozostawia po sobie wpis „Explorer” = „C:\WINDOWS\MSGSVR16.EXE” (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices.Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku: C:\WINDOWS\MSGSVR16.EXE.
Istnieje również zmieniona przez LEENTech Corporation (Living in an Evolution of Enhanced Networking Technology) wersja AcidShiver. Różni się nie tylko wielkością serwera (188 416b), ale również jego nazwą (tour98.exe) i wpisem „WinTour” = „C:\WINDOWS\WINTOUR.EXE” w rejestrze (w kluczach: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run i HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices). Dodano również nowe funkcje:
BCAT lub BGET - wyświetla zawartość pliku binarnego
MACADDR – pokazuje status połączenia ethernetowego
RECENT – kasuje folder RECENT (z ostatnio uruchomionymi dokumentami)
STATUS – pokazuje status wszystkich używanych od początku sesji Windows portów
WSFTP – ustawia domyślny folder WS_FTP
Nowy AS nie jest jeszcze wykrywany przez programy antywirusowe (Autor ma programu Norton AntiVirus z sygnaturą z dnia 26 marca 1999 r., nowa wersja AS testowana była dnia 7 kwietnia 1999 r.).
APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ KLIENTA:
1. BACK ORIFICE
Stworzony przez Cult of the Dead Cow Communications Back Orifice jest potężnym narzędziem do administracji komputerem ofiary. Łączy w sobie cechy wcześniejszych aplikacji (Bowla, T5Porta), udostępniając konsolę tekstową oraz aplikacji klient-serwer, udostępniając ładny, niestandardowy interfejs GUI. Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Instalacja przebiega szybko i sprawnie: pakiet składa się z kilku plików:
bo.txt – dokumentacja BO (15 184b)
plugin.txt – dokumentacja pluginów BO (914b)
boserve.exe – samoinstalujący się serwer BO (124 928b)
bogui.exe – klient graficzny BO (284 160b)
boclient.exe – klient tekstowy BO (57 856b)
boconfig.exe – konfiguracja BO (28 672b)
melt.exe – dekompresor plików spakowanych programem freeze (29 184b)
freeze.exe – kompresor plików (33 280b)
Najważniejszą częścią BO jest serwer o nazwie boserve.exe. Wystarczy uruchomić go kliknięciem lub naciśnięciem klawisza ENTER, aby zainstalował się „bezszelestnie” w katalogu systemowym. Aby skonfigurować serwer, należy posłużyć się programem boconfig.exe, który może również dołączyć się do innych plików wykonywalnych w ten sam sposób jak to robią wirusy. Dwa kolejne wykonywalne pliki w pakiecie są używane przez konia trojańskiego podczas kompresji (freeze) / dekompresji (melt) plików na komputerze ofiary. Uruchomiony po raz pierwszy serwer BO tworzy plik windll.dll w katalogu systemowym Windows (plik ten jest zawarty w kodzie konia trojańskiego), potem wyszukuje aktualnie uruchomione przez ewentualną poprzednią wersję programu procesy, zakańcza je i uaktualnia uruchamiając własne, kopiuje sam siebie do katalogu systemowego Windows (pod nazwą ".exe" i rejestruje się w rejestrze jako jedna z usług autostartu). Później przydziela sobie port numer 31337 (identyczny do T5Port) i zaczyna nasłuchiwać na tym porcie. Komendy można wydawać albo za pomocą aplikacji o graficznym GUI lub na konsoli tekstowej. Zależnie od wydanego polecenia trojan może podejmować następujące działania:
App add – uruchamia tekstowe aplikacje gotową do „nasłuchu” przez port (dostępne później przez np. Telnet)
App del – zatrzymuje wystartowaną wyżej aplikację
Apps list – wyświetla listę uruchomionych wyżej aplikacji
Directory create – tworzy na serwerze katalog
Directory list – wyświetla listę katalogów na serwerze
Directory remove – usuwa katalogi
Export add
Export delete
Exports list
File copy – kopiuje plik/pliki
File delete –kasuje plik/pliki
File find –szuka plik/pliki
File freeze – kompresuje plik/pliki
File melt – dekompresuje plik/pliki
File view – przegląda plik tekstowy
HTTP Disable – wyłącza serwer http
HTTP Enable - włącza serwer http (można uzyskać dostęp do komputera przez przeglądarkę)
Keylog begin – loguje sekwencję wciskanych przez ofiarę klawiszy
Keylog end – kończy logowanie
MM Capture avi – przechwytuje obraz video wraz z dźwiękiem z serwera
MM Capture frame – przechwytuje pojedyncze klatki
MM Capture screen – przechwytuje obraz (screenshot)
MM List capture devices – lista przechwytujących urządzeń
MM Play sound – odtwarza dźwięk na serwerze
Net connections – lista połączeń sieciowych
Net delete – odłącza serwer ofiary od sieci
Net use – przyłącza serwer ofiary do sieci
Net view – wyświetla wszystkie informacje dotyczące sieci (serwery, udostępnione katalogi/dyski)
Ping host – pinguje serwer
Plugin execute – uruchamia plugin BO
Plugin kill – kończy działanie pluginu BO
Plugins list – wyświetla listę dostępnych pluginów BO
Process kill – kończy proces
Process list - wyświetla listę dostępnych procesów
Process spawn – uruchamia program jako ukryty / widzialny na serwerze
Redir add - przekierunkowuje zasoby TCP/IP (połączenia)
Redir del – usuwa przekierunkowania zasobów TCP/IP
Redirs list - wyświetla listę dostępnych przekierunkowań zasobów TCP/IP
Reg create key – tworzy klucz w Rejestrze Systemowym
Reg delete key – kasuje klucz
Reg delete value – kasuje wartość klucza
Reg list keys – wyświetla listę kluczy rejestru
Reg list values – wyświetla wartość klucza
Reg set value – ustawia wartość klucza (binarną, DWORD, string)
Resolve host – zamienia nazwę domeny na adres IP
System dialogbox – wyświetla okienko dialogowe z komunikatem i przyciskiem „OK”
System info – wyświetla informacje o serwerze
System lockup – skutecznie zawiesza system
System passwords – podaje hasła systemowe serwera
System reboot – resetuje serwer
TCP/IP file receive – łączy serwer z podanym IP i zapisuje do pliku ściągnięte dane
TCP/IP file send – łączy serwer z podanym IP i przesyła doń dane
Koń trojański może rozbudowywać swoje możliwości poprzez wbudowane plug-iny. Mogą one być wysyłane do "serwera" i instalowane.
USUNIĘCIE Z SYSTEMU:
• Back Orifice jest wykrywany przez programy antywirusowe. Jeśli dysponujesz najnowszą sygnaturą wirusów, to problem BO masz z głowy. Jeśli nie, to będziesz zmuszony ściągnąć ją z Internetu
• Możesz także użyć programów do wykrywania BO. W Sieci znajdziesz ich całą masę. Najbardziej znane to: Bored 0.2 executable i BoDetect v1.0.2. oraz NOBO.
• Manualnie: uruchom Edytor Rejestru (regedit.exe) i znajdź klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices. Usuń wartość o nazwie: (domyślna) „ .exe”. Zresetuj system. Z katalogu C:\WINDOWS\SYSTEM usuń pliki: .exe (uważaj, bo w zwykłym menedżerze plików prawie go nie widać – zamiast ikony jest przerwa. Najlepiej ustawić w menu Widok|Szczegóły,
wówczas obok pustego miejsca będzie jeszcze wyszczególniony rozmiar pliku i jego rodzaj – Aplikacja) i windll.dll. Twój system jest od tej pory bezpieczny.
2. DEEP THROAT REMOTE 1.0
Napisany przez The DarkLIGHT Corporation.Deep Throat składa się z dwóch plików: serwera systempatch.exe (260 971b) oraz klienta RemoteControl.exe (271 959b). Serwer DTR 1.0 nie jest zabezpieczany hasłem, dostęp do niego jest więc możliwy z każdego klienta programu. Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Wyposażony został w „podstawowe” funkcje:
Otwieranie i zamykanie CD-ROMu na serwerze
Uruchamianie okienka dialogowego z komunikatem
Chowanie/przywracanie paska startowego Windows
Serwer FTP umożliwiający ściągnięcie dowolnego pliku z komputera ofiary (aby tego dokonać niezbędny jest klient FTP, np. Cute FTP lub WS_FTP)
Zrzut ekranu serwera (dzięki temu można zobaczyć aktualny ekran na serwerze, np. pulpit ofiary)
Otwarcie adresu internetowego na serwerze
Włącza tryb oszczędzania energii, który może być wyłączony tylko przez włamywacza
W wersji późniejszej niż 1.0 kradnie hasła systemowe
Uruchamia programy na serwerze (widzialne lub nie dla użytkownika)
Resetuje serwer
Skaner obecności serwera DTR na hostach
Pingowanie (przesyłanie pakietu informacji) hosta w celu sprawdzenia aktywności serwera DTR
Podanie dokładnych informacji o komputerze ofiary
USUNIĘCIE Z SYSTEMU:
• DTR jest wykrywany przez większość znanych programów antywirusowych
• Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
• Uruchom Edytor Rejestru i odnajdź klucz o nazwie: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. W kluczu tym znajdź wpis „SystemDLL32” i zapamiętaj nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSTEMPATCH.EXE”). Skasuj wpis.
• Zresetuj komputer. Po ponownym uruchomieniu Windows odszukaj na dysku aplikację i skasuj ją. Twój system jest od tej pory bezpieczny.
3. MASTER’S PARADISE
W przypadku MP znamy jego twórcę. Jest nim niemiecki programista Dan Lehman. Podobnie jak jego poprzednicy, MP składa się z dwóch części. Serwer może być dołączony do praktycznie każdej aplikacji. W Internecie upowszechnił się poprzez dołączenie do popularnej gry-parodii o tytule: "Pie Bill Gates" (rzucanie ciastkiem w B. Gatesa), gdzie zagnieździł się w pliku GAME.EXE. Uruchamiając na swoim komputerze grę zarażamy jednocześnie system koniem trojańskim (najczęściej poprzez zainstalowanie gry, której nielegalna dystrybucja rozpowszechniona jest w samorozpakowujących się archiwach programu TurboSFX). Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Program wyposażono w różne funkcje:
Otwieranie/zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu)
„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków
Chowanie, pokazywanie i wyłączanie okien aplikacji na serwerze
Generowanie dźwięku wciskanych klawiszy
Nagrywanie dźwięku przez mikrofon ofiary
Nawigacja myszką ofiary (poprzez współrzędne lub manualnie – sterowanie własną)
Odtworzenie dźwięku na komputerze ofiary
Otwarcie adresu internetowego na serwerze
Przesyłanie dowolnych plików na serwer
Screenshot – zrzut ekranu ofiary
Ściąganie i kasowanie dowolnego pliku na serwerze
Uruchomienie aplikacji na serwerze
Wyłączenie dowolnego klawisza
Wysłanie komunikatu do ofiary.
Wysyłanie tekstu do aktywnej aplikacji.
Wyświetlenie dokładnej informacji o komputerze
Wyświetlenie na ekranie ofiary obrazka.
Zamiana przycisków myszki: prawy na lewy i na odwrót
Zmiana głośności dźwięku
Zresetowanie, wylogowanie ofiary.
USUNIĘCIE Z SYSTEMU:
• MP jest wykrywany przez większość znanych programów antywirusowych
• Usuwa go także aplikacja wykrywająca Back Orifice’a: BOClean 2.01
• Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
• MP instaluje się do systemu poprzez zastąpienie programu SYSEDIT.EXE swoim serwerem oraz biblioteki KeyHook.DLL znajdującej się w katalogu Windows lub systemowym (C:\WINDOWS lub C:\WINDOWS\SYSTEM). O ile odzyskanie tego pierwszego pliku nie sprawia większych trudności (jest dołączany do każdej dystrybucji programu instalacyjnego systemu), to z przywróceniem drugiego pliku są już większe problemy: jest on dołączany do niektórych tylko programów – trzeba więc znaleźć go w ich wersjach instalacyjnych lub w Internecie.
• Uruchom Edytor Rejestru i odnajdź klucz o nazwie: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. W kluczu tym znajdź wpis i zapamiętaj nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSEDIT.EXE”). Skasuj wpis.
• Zresetuj komputer. Po ponownym uruchomieniu Windows odszukaj na dysku aplikację i skasuj ją. Skasuj również bibliotekę KeyHook.DLL. przywróć powyższe pliki z oryginalnych wersji instalacyjnych. Twój system jest od tej pory bezpieczny.
4. NETBUS 1.60, 1.70, 2.0
Podobnie jak w przypadku wcześniejszego Master’s Paradise znamy twórcę Netbus’a. Jest nim Carl-Fredrik Neikter. Co ciekawsze, wersja 2.0 jest programem shareware, który należy zarejestrować [istnieją 2 rodzaje licencji: na „użytek domowy” oraz dla firm i organizacji (pojedyncze lub stanowiskowe)]. Opłata jest związana, jak twierdzi autor, nie z komercyjną działalnością, ale ze wsparciem jego działań. Wersja 1.6 składa się z dwóch najważniejszych plików (nie mówiąc o dokumentacji): serwera o nazwie Patch.exe (472 576b) oraz klienta – NetBus.exe (567 296b). Wersja 1.7 to pliki o tej samej nazwie, ale innym rozmiarze: 494 592b (serwer) i 599 552b (klient). Obie wersje instalują się domyślnie na portach 12345 lub 12346. Najnowsza wersja rozpowszechniana jest w charakterystycznej dla znanych programów dystrybucji InstallShield(r) Wizard (rysunek) i jej serwer zajmuje domyślnie port 20034.
Ustawienia serwera zmienić można programem instalacyjnym (NetBus 2.0 - rysunek) lub po połączeniu się z nim klientem (każdy). W wersjach wcześniejszych od 2.0 wystarczy tylko uruchomić serwer (jego nazwa może się dowolnie różnić od patch.exe, można też stosować parametry: /noadd, /remove, /pass:xxx, /port:xxx), aby stał się aktywny podczas każdej sesji Windows.
NetBus ma funkcje podobne do wcześniejszych koni trojańskich. Są to:
Otwieranie, zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu)
„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków
Chowanie, pokazywanie i wyłączanie okien aplikacji na serwerze
Generowanie dźwięku wciskanych klawiszy
Nagrywanie dźwięku przez mikrofon ofiary
Nawigacja myszką ofiary (poprzez współrzędne lub manualnie – sterowanie własną)
Odtworzenie dźwięku na komputerze ofiary (format WAV)
Otwarcie adresu internetowego na serwerze
Powiadamianie emailowe o obecności w sieci ofiary
Przesyłanie dowolnych plików na serwer
Przekierunkowanie danych ze specyficznego portu na podany host i na odwrót (możliwość sterowania aplikacją ofiary z komputera włamywacza przez konsolę telnetową)
Screenshot – zrzut ekranu ofiary
Skaner serwerów NetBusa w sieci
Ściąganie i kasowanie dowolnego pliku na serwerze
Uruchomienie aplikacji na serwerze
Wyłączenie dowolnego klawisza
Wysłanie komunikatu do ofiary.
Wysyłanie tekstu do aktywnej aplikacji.
Wyświetlenie dokładnej informacji o komputerze
Wyświetlenie na ekranie ofiary obrazka (w formacie BMP i JPG)
Zamiana przycisków myszki: prawy na lewy i na odwrót
Zmiana głośności dźwięku
Zmiana konfiguracji serwera NetBusa (port, hasło, itp.)
Zresetowanie, wylogowanie ofiary.
W wersji 2.0 dodano:
Zmieniono GUI
Zwiększono wydajność
Zmieniono menedżera plików
Zmieniono menedżera okien
Dodano menedżera Rejestru Systemowego
Dodano menedżera pluginów
Dodano możliwość ściągnięcia filmu z serwera
Dodano możliwość wykradzenia haseł systemowych
Dodano klienta Chatu z innymi użytkownikami NetBusa (sic!)
USUNIĘCIE Z SYSTEMU:
• NetBus jest wykrywany przez większość znanych programów antywirusowych
• Usuwa go także aplikacja NetBus Remover
• Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
• Wykrycie NetBusa jest trudne, ponieważ jego serwer może przyjąć każdą nazwę. Na szczęście można go odkryć w Rejestrze Systemowym. NetBus pozostawia takie wpisy jak: HKEY_CURRENT_USER\NETBUS 1.6, HKEY_CURRENT_USER\NETBUS 1.7, HKEY_CURRENT_USER\NetBus, HKEY_CURRENT_USER\NetBus Server (dwa ostatnie to wersja 2.0, wtedy wystarczy tylko odszukać klucz HKEY_CURRENT_USER\NetBus\Transfer, w którym podana jest ścieżka serwera, usunąć dwa wcześniejsze klucze, zresetować komputer i w następnej sesji Windows usunąć serwer oraz plik NBHelp.dll). Wcześniejsze wersje NetBusa trudniej jest wykryć (chyba że włamywacz nie pofatygował się i nie zmienił nazwy serwera – wówczas jest nim plik o nazwie Patch.exe). NetBus w wersji 1.6 i 1.7 zostawia charakterystyczny wpis w Rejestrze: HKEY_CURRENT_USER\nazwa_serwera_w_wersji_1.6_lub_1.7. Znając nazwę można usunąć konia trojańskiego kasując w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run wpis o nazwie takiej, jak nazwa serwera (czyli np. jeśli nasz serwer nazywa się serwer.exe, to zostawia takie klucze w Rejestrze, jak: 1. HKEY_CURRENT_USER\SERWER, 2. A w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run wpis: nazwa „SERWER” – dane „ścieżka_dostępu\serwer.exe”. Wystarczy usunąć te dwa wpisy, zresetować komputer i manualnie usunąć serwer z dysku, aby pozbyć się ostatecznie NetBusa.
5. PROSIAK 0.47, 1/2
Program o swojsko brzmiącej nazwie Prosiak jest ewenementem, jeśli chodzi o twórczość polskich programistów (nawet jeśli chodzi o tak delikatną kwestię, jak włamywanie się do cudzych komputerów). Jego autorem jest student ukrywający się pod adresem [email protected]. Trojan składa się z dwóch części: serwera PROSIAK.EXE (238 592b w wersji 0.47, 237 056b w wersji 1/2) oraz klienta PRO_CLI.EXE (211 456b w v. 0.47, 258 048b w v. 1/2). Serwer instaluje się na porcie 33333 (v. 0.47) lub 44444 (v. 1/2). Działa na systemach: Windows 95 i 98. UWAGA ! Jako że Prosiak jest polskim koniem trojańskim, nie jest jeszcze (kwiecień ’99) wykrywany przez programy antywirusowe. Usunąć można go jedynie manualnie. W przeciwieństwie do wcześniejszych koni trojańskich, które powielały pomysły, Prosiak ma kilka innowacji. Dostępne w wersji 0.47 funkcje to:
zamknięcie, odinstalowanie, zmiana nazwy serwera
zmiana nazwy sieciowej komputera
zmiana nazwy, chowanie, pokazywanie, minimalizowanie, maksymalizowanie okien oraz „okien-dzieci” (czyli np. menu aplikacji)
efekty wizualne: skurczenie, wstrząsanie, migotanie, zamiana kolorów na negatyw, dziurkowanie okien
podstawowe operacje na plikach (kopiowanie, usuwanie, uruchamianie, tworzenie katalogów, ściąganie, przesyłanie na serwer)
podstawowe informacje o serwerze (nazwa domeny, IP, ścieżki systemowe)
czytanie, usuwanie, przesyłanie tekstu do schowka
uruchamianie na serwerze strony internetowej
uruchamianie na serwerze domyślnego programu pocztowego z zadanym adresem emailowym i tematem listu
uruchamianie komend DOS-a
włączenie wygaszacza ekranu, trybu oszczędzania energii, zmiana kolorów w Windowsie na negatyw (również czasowa)
schowanie/ pokazanie przycisku START, paska zadań (TASKBAR), Pulpitu
zamiana klawiszy myszki
wyświetlenie okienka dialogowego/ wodzenie za kursorem myszki komunikatu
wylogowanie, zresetowanie, zamknięcie systemu
pokazanie na ekranie serwera obrazka
odtworzenie na serwerze pliku muzycznego
zrzut ekranu z serwera (niestety bardzo wolny)
efekty wizualne na ekranie: „skaczące pixelki”, „inwazja mrówek”, „rozmycie”, „znikające kolory”
W wersji 1/2 dodano:
dokładniejsze informacje o systemie (czas pracy, rozdzielczość, pamięć fizyczna, długość pinga
skaner sieci (wykrywanie Prosiaka na innych komputerach podłączonych do sieci)
opcję zawieszenia komputera
możliwość uruchamiania i edycji skryptów
zmiana hasła (domyślnie: prosiak)
wystartowanie serwera proxy (przekierunkowanie aplikacji znane z BO czy NetBusa)
wystartowanie serwera httpd
konsola wykonywanych przez serwer poleceń
USUNIĘCIE Z SYSTEMU:
• Prosiak nie jest wykrywany przez programy antywirusowe
• Nie ma także na razie aplikacji wykrywających jego działanie
• Wykrycie Prosiaka jest łatwiejsze niż NetBusa, mimo iż jego serwer również może przyjąć każdą nazwę. W przeciwieństwie do NetBusa, Prosiak nie zmienia nazwę wpisu w rejestrze (Microsoft DLL Loader), a pozostawia go w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices. Domyślnie wpis ma wartość: windll32.exe (w wersji 0.47) lub vbrun60.exe (w wersji 1/2). Ponadto w wersji 1/2 Prosiak tworzy klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Rconfig. Usuwając wpis, resetując komputer i kasując serwer znajdujący się w katalogu C:\WINDOWS\SYSTEM pozbędziemy się go na dobre.
6. SOCKETS DE TROIE
Jest to drugi (po Prosiaku) program „narodowy” stworzony w języku innym niż angielski. Powstał w ojczyźnie Napoleona, w październiku 1998 roku. Napisany w języku Delphi 3, ma rozbudowany (około 443 kB) rdzeń. Ciekawostką jest to, iż dystrybucja tego konia trojańskiego obejmuje: aplikacje klient-serwer, dokumentację oraz kod źródłowy (w przeciwieństwie do innych, „komercyjnych” aplikacji). Istnieją znane 2 rodzaje instalacji serwera:
1. Uruchomiony serwer podaje komunikat o brakującej bibliotece (SETUP32.DLL) instalując się do katalogu systemowego Windows (jako plik MSCHV32.EXE) i modyfikując zarazem Rejestr Systemowy, aby uruchamiać się z każdą sesją systemu (pierwszy klucz: HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunLoad oraz wpis: „MSchv32 Drv = C:\WINDOWS\SYSTEM\MSchv32.exe”, drugi klucz: HKEY_CLASSES_ROOT\DirectSockets oraz wpis:
„DirectSocketsCtrl = $A4 D5 #FFF”).
2. Uruchomiony serwer podaje komunikat o brakującej bibliotece (ISAPI32.DLL) instalując się trzykrotnie: raz do katalogu Windows (c:\windows\rsrcload.exe), 2 razy do katalogu systemowego (c:\windows\system\mgadeskdll.exe,
c:\windows\system\csmctrl32.exe) i modyfikując zarazem Rejestr Systemowy: pierwszy klucz: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunLoad oraz wpis: Mgadeskdll = C:\WINDOWS\SYSTEM\Mgadeskdll.exe
drugi klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunLoad oraz wpis: Rsrcload = C:\WINDOWS\Rsrcload.exe
trzeci klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesLoad oraz wpis: Csmctrl32 = C:\WINDOWS\SYSTEM\Csmctrl32.exe
USUNIĘCIE Z SYSTEMU:
• Sockets de Troie nie jest wykrywany przez programy antywirusowe
• Usuwa go Anti-Sockets de Troie
• SdT usunąć można również manualnie – kasując podane wyżej klucze w Rejestrze Systemowym. Wcześniej należy zapamiętać ścieżki i nazwy plików, które po ponownym uruchomieniu Windows trzeba usunąć z systemu. Od tej chwili system jest bezpieczny.
7. WinCrash 1.03
Kolejny program z dziedziny aplikacji klient-serwer. Stworzony został przez bliżej nieznany duet programistów: M@niac_Teen & Terminal Crasher. Konfiguracja serwera [domyślnie Server.exe (296 448b), charakterystyczna ikonka Windows – falujące czterokolorowe okienko] na komputerze ofiary odbywa się automatycznie, a sam program nie jest widzialny na pasku zadań czy też liście aktywnych procesów (uruchamianej kombinacją klawiszy: CTRL+ALT+DEL). Włamywacz może również dowolnie zmieniać nazwę pliku serwera. Dostępne funkcje:
otwieranie, zamykanie CD-ROM-u
zapalanie, wygaszanie diod na klawiaturze (CAPS_LOCK i SCROLL_LOCK)
zablokowanie, odblokowanie, zdalne sterowanie kursorem myszy
wyłączenie, włączenie monitora
„zapchanie” drukarki sieciowej
zablokowanie klawiszy systemowych (np. CAPS_LOCK, SCROLL_LOCK)
wyłączenie schowka
włączanie, wyłączanie wygaszacza ekranu
ukrycie lub wyłącznie: paska zadań, przycisku START
usunięcie, zmiana tapety
zmiana czasu i daty systemowej
zamknięcie, odinstalowanie serwera
zamknięcie uruchomionych programów
zamknięcie, zawieszenie, zresetowanie Windows
wyświetlenie okienka dialogowego (CHAT) lub tekstu
pobranie informacji o systemie
zdobycie haseł systemowych
wyświetlenie listy aktywnych procesów
uruchomienie dostępu do dysku twardego ofiary poprzez FTP
odtworzenie pliku dźwiękowego (format WAV)
wykonywanie podstawowych operacji dyskowych na komputerze ofiary
modyfikacja pliku autoexec.bat
uruchamianie aplikacji na serwerze
USUNIĘCIE Z SYSTEMU:
• WinCrash jest wykrywany przez markowe programy antywirusowe
• Nie ma na razie aplikacji wykrywających jego działanie.
• Można go usunąć manualnie: WinCrash instaluje się do katalogu systemowego (może ukrywać się pod różnymi nazwami) i zostawia w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run wpis: „MsManager” = „nazwa pliku serwera”. Usuwając ten wpis, resetując komputer i kasując znany plik zabezpieczamy się przed zgubnym działaniem trojana.
8. Web EX 1.2
Aplikacja składa się z następujących plików: klienta Web Ex.exe (96 768b) i serwera Task_bar.exe (115 200b). Ponadto do uruchomienia potrzebne są następujące pliki:
MSVBVM50.dll
MSWINSCK.ocx
MSINET.ocx
które nie są domyślnymi plikami systemowymi. Włamywacz będzie musiał się więc zatroszczyć o to, aby wraz z serwerem umieścić je na komputerze ofiary. Ponadto do programu dołączany jest komponent o nazwie Antidote.exe, który służy do trwałego usunięcia serwera z systemu. Web EX nie jest więc programem przeznaczonym dla „profesjonalnych włamywaczy”, ale raczej eksperymentalnym projektem jego twórcy (o nicku: pc). GUI programu jest łudząco podobne do wcześniejszych wersji NetBusa. Sam program oferuje też niewiele funkcji (głównie mających za zadanie zwrócić uwagę użytkownika na to, że coś nie tak jest z jego systemem). Najciekawszym pomysłem jest zintegrowanie trojana ze stroną internetową jego twórcy – oferuje ona stały serwis podając listę dostępnych w sieci zarażonych komputerów:
wyświetlenie okna dialogowego z komunikatem na serwerze
uruchamianie strony internetowej na serwerze
uruchamianie dowolnej aplikacji
otwieranie, zamykanie CD-ROM-u
wyświetlenie listy aktywnych aplikacji
zapełnienie ekranu ofiary tekstem
rysowanie okręgów wokół kursora myszy
zresetowanie komputera ofiary
zamiana przycisków myszy
wyświetlenie informacji o systemie ofiary
powiadamianie wszystkich chętnych na stronie internetowej autora (http://www.cates.mcmail.com/webex) o obecności w Internecie każdego użytkownika z zainstalowanym koniem trojańskim (sic!)
powiadamianie włamywacza poprzez email o obecności w Internecie ofiary
„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków
wyświetlenie listy adresów IP zarażonych komputerów tworzonej na stronie internetowej autora konia trojańskiego
USUNIĘCIE Z SYSTEMU:
• Web EX nie jest wykrywany przez programy antywirusowe
• Nie ma także na razie aplikacji wykrywających jego działanie.
• Można usunąć go manualnie: WE pozostawia po sobie wpis „RunDl32” = „C:\windows\system\task_bar” (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku: C:\WINDOWS\SYSTEM\TASK_BAR.EXE.
9. EXECUTER 1
Executer to prosta aplikacja klient-serwer. Napisana została przez mało komu znanego człowieka o nicku Lavar. Podobnie jak jej poprzedniczki, składa się z 2 części: serwera [domyślnie: Exec.exe (249 334b)] oraz wyglądającego nietypowo (podobnie jak BO) klienta [domyślnie: Controller.exe (340 992b)]. Dużo trudności użytkownikowi sprawić może wykrycie serwera, który przydziela sobie wolne porty, zmieniając ich wartość za każdym połączeniem W równie nietypowy sposób odbywa się sterowanie aplikacją – opcje wybiera się przemieszczając je z okienka komend (gdzie wyszczególniono wszystkie) do okienka komend przeznaczonych do uruchomienia (uruchomić można jedną lub kilka komend na raz ustalając odstęp czasu. Możliwe jest również „zapętlenie” wykonywanych komend). Na szczęście trojan ma rzucającą się w oczy ikonę: żółto-czerwony napis: „SeEK”. EXECUTER to koń trojański mający głównie na celu utrudnić życie ofiary – stąd wiele funkcji destrukcyjnych:
//DestroyDblClick – wyłączenie podwójnego kliknięcia
//DestroyDesktopColors – zmiana kolorów systemowych na żółty
//DestroyDesktopColors2 – zmiana kolorów systemowych na czarny
//DestroyDesktopColors3 – zmiana kolorów systemowych na niebieski
//DestroyDesktopColors4 - zmiana kolorów systemowych na czerwony
//Disconnect – wyłączenie aplikacji serwera
//DestroyCtrlAltDel – wyłączenie kombinacji klawiszy: CTRL+ALT+DEL
//DestroyCursorPos – ustawienie kursora myszy w pozycji 0,0
//DestroyTrayWnd – ukrycie paska zadań
//DestroyWindows – zresetowanie komputera ofiary
//RestoreDblClick – włączenie podwójnego kliknięcia
//RestoreCtrlAltDel – włączenie kombinacji klawiszy: CTRL+ALT+DEL
//RestoreTrayWnd – przywrócenie paska zadań
//CopyProgramToWindowsDir –skopiowanie serwera do katalogu C:\Windows\
//AddProgramToStartup – dodanie serwera do Autostartu
//DeleteLogo.Sys – skasowanie C:\Logo.sys
//DeleteWin.Com – skasowanie C:\Windows\Win.com
//DeleteIo.Sys – skasowanie C:\IO.sys
//DeleteSystem.Ini – skasowanie C:\Windows\System.ini
//DeleteWin.Ini – skasowanie C:\Windows\Win.ini
//DeleteConfig.Sys – skasowanie C:\Config.sys
//DeleteAutoexec.Bat – skasowanie C:\Autoexec.bat
//DeleteCommand.Com – skasowanie C:\Command.com
//DeleteRegedit.Exe – skasowanie Regedit.exe
//DeleteTaskman.Exe – skasowanie Taskman.exe
//EnableScreenPaint – włączenie wyświetlania na ekranie ciągu: ('DIE!!! DIE!!! DIE!!!')
//DisableScreenPaint - wyłączenie wyświetlania na ekranie ciągu: ('DIE!!! DIE!!! DIE!!!')
//EnableBeeping - włączenie generowania dźwięków na PC Speakerze
//DisableBeeping - wyłączenie generowania dźwięków na PC Speakerze
W rzeczywistości jest to program bardzo powolny i nieudolny – nie został wyposażony w opcję samodzielnej instalacji na komputerze ofiary. Włamywacz musi dokonać tego manualnie: skopiować serwer na komputer ofiary i dodać go do Autostartu (ułatwieniem dla niego obecność takich funkcji w trojanie), dokonać tego może dopiero po uruchomieniu na komputerze ofiary serwera.
USUNIĘCIE Z SYSTEMU:
• Executer nie jest wykrywany przez programy antywirusowe
• Nie ma także na razie aplikacji wykrywających jego działanie
• Można go usunąć manualnie: koń trojański instaluje się do katalogu Windows jako: Sexec.exe i zostawia w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run wpis: „<> EXECUTOR 1” = „C:\Windows\SExec.exe”. Usuwając ten wpis, resetując komputer i kasując znany plik usuwamy go na trwałe z systemu.
10. GirlFriend 1.3
Stworzony przez General Failure, koń trojański składa się z dwóch nieodłącznych składników: serwera [nazwanego przez twórców GirlFriend, domyślnie: Windll.exe (331 264b)] oraz klienta [BoyFriend: gf.exe (425 984b)]. Jego funkcje nie są rozbudowane, a on sam służy głównie do wykradania haseł systemowych i wyświetlania komunikatów. Oprócz zdobywania, hasła może wykasować – pod tym względem jest niebezpieczny (zwłaszcza jeśli ofiara ma hasła dostępu do Internetu inne niż „ppp” lub nie pamięta haseł pocztowych w MS OUTLOOK). Ciekawostką jest również kopiowanie odkrytych w systemie haseł do Rejestru Systemowego do klucza: „HKEY_LOCAL_MACHINE\Software\Microsoft\General”. Program oznacza zdobyte hasła lub pola tekstowe we wpisach kolejnymi liczbami, np.: „1”=”Połączenie Dial-up___ppp”.
„Show Passes” – wyświetla listę haseł dostępnych na komputerze ofiary (np. hasła dostępu do Internetu) oraz wszelkich aktywnych pól tekstowych (w tym również zakodowanych ciągiem gwiazdek: *******)
„Send Message” – wyświetlenie na ekranie ofiary okienka dialogowego. Możliwe jest wybranie jednego spośród pięciu rodzajów komunikatów: ostrzeżenia, informacji, błędu, zapytania, zwykłego oraz przetestowanie komunikatu na komputerze włamywacza
„Reset Password List” – kasuje wszystkie hasła systemowe na serwerze
„Custom” – wysłanie jednej z komend do serwera:
TEST? - wysyła do serwera pytanie: „Are you alive?”. Jeśli serwer działa odpowie: „Server is alive!”
ver – wyświetla wersję serwera
KillHER – „zabija” serwer (usuwa serwer z rejestru, ale nie kasuje pliku windll.exe)
{U} - uruchamia na serwerze zadaną stronę internetową (adres zaczyna się od: „http://”)
{S} - odgrywa plik dźwiękowy (format WAV)
{P} - wyświetla plik graficzny (format BMP)
DOWN – wyłącza szukanie haseł na serwerze
UP – włącza szukanie haseł na serwerze
setport - ustawia nowy port
USUNIĘCIE Z SYSTEMU:
• GirlFriend jest wykrywany przez markowe programy antywirusowe
• Nie ma na razie aplikacji wykrywających jego działanie
• Można go usunąć manualnie: koń trojański instaluje się do katalogu Windows jako: Windll.exe i zostawia w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run wpis: „Windll.exe” = „C:\Windows\Windll.exe”. Usuwając ten wpis, resetując komputer i kasując znany plik usuwamy go na trwałe z systemu.
11. MILLENIUM 1.0
Millenium to milenijny prezent od programisty o nicku DaTa-SuRgE. Tradycyjnie program składa się z dwóch części: niezwykle małego serwera [o wiele mówiącej nazwie SPY: domyślnie plik nazywa się server.exe (48 128b)] oraz klienta [client.exe (164 352b)]. Cechą charakterystyczną serwera jest nietypowa ikona (szara dyskietka z czarno-zieloną etykietą). Dostępne funkcje to:
Zresetowanie, wylogowanie, zamknięcie, uruchomienie w trybie MS-DOS, odłączenie od sieci komputera ofiary
Zamknięcie, uruchomienie, usunięcie serwera
Otwarcie, zamknięcie CD-ROM-u
Włączenie, wyłączenie kombinacji: Ctrl+Alt+Del, Caps Lock, Number Lock
Przejęcie kontroli nad myszką i kursorem ofiary
Podstawowe operacje dyskowe
Przekierunkowanie danych
USUNIĘCIE Z SYSTEMU:
• Millenium nie jest wykrywany przez markowe programy antywirusowe
• Wykrywany jest przez program Millenium Remove
• Można go usunąć manualnie: koń trojański instaluje się do katalogu systemowego Windows jako: reg66.exe i zostawia w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run wpis: „Millenium” = „C:\windows\system\reg66.exe”. Jest również jedynym koniem trojańskim, który pozostawia wpis w pliku C:\WINDOWS\win.ini w sekcji [windows]: „run=C:\windows\system\reg66.exe”. Usuwając te dwa wpisy, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
12. NetSpy
NetSpy to jedno z najbardziej przebiegłych narzędzi. Jego twórcą jest firma sXi Software. Jest idealnym przykładem konia trojańskiego: wersja dystrybucyjna składa się z aplikacji będącej niczym innym jak programem instalacyjnym o bezpiecznie brzmiącej nazwie SysProtect 98. Niestety zamiast programu instaluje się nam w katalogu C:\PROGRAM FILES\SYSPROTECT nic poza ... programem deinstalującym aplikację. Tymczasem na naszym dysku pojawia się serwer konia trojańskiego [w katalogu C:\WINDOWS\SYSTEM jako plik system.exe (312 320b) z ikoną przedstawiającą czterokolorowe okienko Windows z napisem Microsoft Windows. Nic bardziej złudnego...]. Do komunikacji z serwerem służy klient o nazwie: SP_CLIENT.EXE (388 608b). Całość współpracuje z Windowsem 95, 98 i NT. Dostępne funkcje:
apps – pokazuje listę aktywnych aplikacji
cd - zmienia katalog
closedown – zamyka system
dir – lista plików i podkatalogów
getdir – wyświetla obecny katalog
help – podaje wszystkie komendy
login – loguje się do serwera i podaje informacje o jego nazwie, czasie, katalogu Windows
logout – wylogowuje się z serwera
msg | - wyświetla okienko dialogowe
nostart – chowa przycisk START
notask – chowa pasek zadań
shutdown – resetuje Windows
sleep – zwalnia działanie serwera na 10 sekund
start – pokazuje przycisk START
task – pokazuje pasek zadań
type wyświetla zawartość pliku tekstowego
sysinfo – wyświetla informacje o systemie ofiary
win uruchamia komendę DOSową / WINDOWSową
USUNIĘCIE Z SYSTEMU:
• NetSpy nie jest wykrywany przez programy antywirusowe
• Nie ma na razie aplikacji wykrywających jego działanie
• Należy wystrzegać się programu instalacyjnego o nazwie SysProtect 98
• Usunięcie manualne: NetSpy instaluje się jako C:\WINDOWS\SYSTEM\system.exe. pozostawia też po sobie wpis „SysProtect”=” C:\WINDOWS\SYSTEM\SYSTEM.EXE” w kluczach: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Usuwając wpisy, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
13. SK Silencer 1.01
Silencer to najnowszy produkt ze stajni The SmithKlan. Jest jednym z najmniejszych koni trojańskich mających własnego klienta. Nazwą domyślną serwera jest server.exe (34 304b), ale można ją zmieniać. Ma on charakterystyczną ikonę – czerwony trójkąt równoboczny z białym wykrzyknikiem wewnątrz. Klient jest dwa razy większy (78 336b) i ma „radioaktywną” ikonę. Program nie jest zbytnio rozbudowany. Jest to również jedyny backdoor ze standardowym GUI – wyglądającym jak większość aplikacji windowsowych. Współpracuje z Windowsem 95 i 98. Dysponuje jedynie kilkoma standardowymi funkcjami, jednak na uwagę zasługuje opcja wykradająca hasła ICQ.
Chat – uruchamia CHATA między serwerem a komputerem włamywacza
Send KeyStrokes – wysyła kombinację klawiszy
ICQPassJack – zdobywa hasła ICQ
Run Application – uruchamia aplikację na serwerze
Send Msg – wyświetla na serwerze okno dialogowe z dowolną informacją
Hide Taskbar – ukrywa pasek zadań
Disable Ctrl-Alt-Del – wyłącza kombinację Ctrl-Alt-Del
Ping Pong Virus – pokazuje na serwerze piłeczkę pingpongową odbijającą się od krawędzi ekranu
Reboot – resetuje komputer ofiary
Run Screensaver – włącza wygaszacz ekranu
Show Shutdown Menu – uruchamia procedurę zamknięcia systemu
USUNIĘCIE Z SYSTEMU:
• SK Silencer jest wykrywany przez markowe programy antywirusowe
• Nie ma na razie aplikacji wykrywających jego działanie
• Usunięcie manualne: SK Silencer nie ma opcji pozwalającej na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedy standardowa procedura, wszystko zależy od jego inwencji). Należy się wystrzegać plików z ikoną i rozmiarem, jak opisane wyżej. Po odkryciu na swoim dysku opisanego serwera należy uruchomić program regedit.exe i znaleźć wpis będący ścieżką do serwera, usunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.
14. StealthSpy
W przeciwieństwie do większości koni trojańskich StealthSpy nie jest anonimowy. Jego twórcą jest człowiek o miłym dla słowiańskiego ucha nazwisku – Andrei Birjukov. I chociaż programy rosyjskich twórców należą do czołówki najlepszych, to jednak ten pozostawia trochę do życzenia (chociaż sam autor zastrzega, że jest to dopiero wersja BETA 3). Rzeczywiście, niżej podpisany zdobył wersję roboczą, w której istnieje wiele „białych plam”, a użycie niektórych opcji kończy wykonywanie programu poprzez jego wyłączenie. Nieobce są również komentarze odautorskie pokazywane przez aplikację zamiast oczekiwanych funkcji. Mimo tych niedociągnięć należy spodziewać się kolejnego, ale na szczęście niezbyt groźnego, konia trojańskiego. W wersji BETA 3 składa się on z następujących plików: serwera o nazwie telserv.exe (235 520b), biblioteki tserv.dll, pliku wsadowego doscmd.bat odpowiedzialnego za wykonywanie komend dosowych, klienta telman.exe (137 216b), który wymaga biblioteki MSVBVM50.DLL oraz pliku MSWINSCK.OCX. Koń trojański ma następujące (ubogie) funkcje:
screenshot (zrzut ekranu)
menedżer plików (kopiowanie plików na i z serwera)
uruchamianie komend dosowych
zamykanie aplikacji
wyświetlanie na serwerze okienka dialogowego
zresetowanie komputera ofiary
USUNIĘCIE Z SYSTEMU:
• StealthSpy nie jest wykrywany przez programy antywirusowe
• Nie ma na razie także aplikacji wykrywających jego działanie
• Usunięcie manualne: StealthSpy nie ma opcji pozwalającej na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedy standardowa procedura, wszystko zależy od jego inwencji). Jest to jedyny koń trojański, którego serwer jest widoczny po wciśnięciu kombinacji klawiszy: CTRL+ALT+DEL (rysunek). Po odkryciu na swoim dysku opisanego serwera należy uruchomić program regedit.exe i znaleźć wpis (jeśli wpis istnieje) będący ścieżką do serwera, usunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.
15. Telecommando v1.5.4
Napisany przez osobę o nicku Night Navigator koń trojański jest bardzo dziwnym, ale nie można powiedzieć, że oryginalnym, programem. Po pierwsze: aby wykonać dowolną funkcję, należy wziąć na siebie całą odpowiedzialność za jej działanie – stąd idące w nieskończoność akceptowanie komunikatu : „I Agree”. Po drugie: program wyłącza kombinację klawiszy: Ctrl+Esc i Alt+Ctrl+Del. Trzecim „pomysłem” autora jest zablokowanie komend przed połączeniem się z serwerem, z którym [domyślnie nazywa się teleserv.exe (211 456b), ale może przyjmować dowolną nazwę] można się komunikować na dwa sposoby: albo wypisując komendy, albo wybierając je z listy, podając przy tym niezbędne parametry:
Dialog Boxes – wyświetla okno dialogowe z tekstem
Get Logical Drives – wyświetla listę dysków logicznych
Hide/Show the Start Button – chowa, pokazuje przycisk START
Hide/Show the Taskbar – chowa, pokazuje pasek zadań
Hide/Show Desktop – chowa, pokazuje pulpit
Shutdown Server – usuwa serwer w danej sesji Windows
Uninstall Server – odinstalowuje serwer
Password Status – powiadamia o zmianie haseł przez ofiarę podczas sesji serwera
Password Change – zmienia hasło
Password Delete – usuwa hasło
Execute Normal – uruchamia program jako widoczny dla ofiary
Execute Minimized – uruchamia program jako zminimalizowany
Execute Maximized - uruchamia program jako zmaksymalizowany
Execute Hidden – uruchamia program jako niewidoczny dla ofiary
List 32bit Process – wyświetla listę 32-bitowych aplikacji
Kill 32bit Process – zabija 32-bitowy proces
Get Users Name – wyświetla nazwę użytkownika
Get Computers Name – wyświetla nazwę serwera
Get Users Date & Time – wyświetla datę i czas z serwera
Logoff User – wylogowuje ofiarę
Reboot User – resetuje komputer ofiary
Shutdown User – zamyka komputer ofiary
Change Dir – zmienia katalog na podany w linii komend
Make Dir – tworzy katalog
Remove Dir – kasuje katalog
Delete File – kasuje plik
List Files – wyświetla listę plików w katalogu
Get Current Directory – wyświetla nazwę obecnego katalogu
Misc – dzieli ekran na części, które później miesza ze sobą
Star On/Off – podobne do gwiezdnego wygaszacza
USUNIĘCIE Z SYSTEMU:
• Telecommando nie jest wykrywany przez programy antywirusowe
• Nie ma na razie aplikacji wykrywających jego działanie
• Usunięcie manualne: Telecommando instaluje się jako C:\WINDOWS\SYSTEM\ODBC.EXE. Pozostawia też po sobie wpis „SystemApp”=” ODBC.EXE” w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
16. GateCrasher 1.1
GC jest narzędziem napisanym w całości w języku Visual Basic. Znani są dwaj twórcy trojana, którzy ukrywają się pod pseudonimami: KillBoy i ExCon. Jest też jedynym koniem trojańskim, który może infekować komputer ofiary na dwa sposoby: klasycznie jako aplikacja lub dostarczany jest jako dokument MS Word (w wersji 97) z makrem. Będąc podłączonym do Internetu lub pracując w sieci lokalnej użytkownik jest narażony na kontakt z aplikacją, która przejmuje kontrolę nad takimi platformami, jak: Windows 95, 98 i NT. Zarażony dokument można o trzymać na wiele sposobów. Może być: dołączany do listu email, powszechny na IRC i w CHAT ROOMach, wykorzystywać „dziury” w popularnych przeglądarkach internetowych. Domyślnie instaluje się na porcie 6969, ale może korzystać z każdego innego.
W skład programu wchodzą następujące pliki:
TCP.exe – plik wspomagający TCP/IP (nic nie robi)
Port.dat – plik z danymi serwera, może przybrać nazwę Port.exe lub Port.doc w zależności od sposobu instalacji na komputerze ofiary
GC.exe – klient
Cleaner.exe – program usuwający serwer z systemu
MsWinsck.ocx – kontrolka Winsock ActiveX używana do komunikacji przez protokół TCP/IP pomiędzy serwerem a klientem
MSVBVM60.DLL – biblioteka Visual Basic 6.0 Enterprise
Inet.drv – Agent wykrywający połączenie - otwiera serwer
Dostępne opcje:
Clear Recent Folder – kasuje folder RECENT (z ostatnio uruchomionymi dokumentami)
Close CD – zamyka CD-ROM
Close The Server – zamyka serwer
Close Windows – zamyka sesję Windows
Crazy Mouse Start– przejmuje kontrolę nad myszką użytkownika
Crazy Mouse Stop – przywraca kontrolę nad myszką użytkownika
Delete Directory – kasuje katalog
Delete File – kasuje plik
Fill Drive – zapełnia dysk tworząc na nim pliki
Format Drive – formatuje dysk
Get Active Windows – wyświetla listę aktywnych aplikacji
Get Computer Name – wyświetla nazwę komputera ofiary
Get Disk Serial # - wyświetla informację o numerze seryjnym dysku twardego ofiary
Get Free Space – wyświetla informację o ilości wolnego miejsca na dysku
Get HD Letter - wyświetla literę dysku lokalnego
Get ICQ UIN – wyświetla numer ICQ
Get Local Time – wyświetla obecny czas na serwerze
Get Organization – wyświetla informację o organizacji właściciela Windows
Get OS - wyświetla informację o wersji Windows
Get Owner – wyświetla informację o właścicielu Windows
Get Server Path - wyświetla ścieżkę gdzie znajduje się serwer
Get System Directory - wyświetla nazwę katalogu systemowego
Get Temp Directory - wyświetla nazwę katalogu tymczasowego
Get User - wyświetla nazwę aktualnego użytkownika
Get Windows Directory – wyświetla nazwę katalogu Windows
Hide Mouse – ukrywa kursor myszki
Hide Task Bar – ukrywa pasek zadań
Kill Window – zamyka aplikację
List File in Directory – wyświetla listę plików w katalogu
Log Off – wylogowuje ofiarę
Make Directory – tworzy katalog na serwerze
Open CD – otwiera CD-ROM
Open Control Panel – otwiera Panel Sterowania
Open Date/Time – otwiera Właściwości Daty/Godziny
Open FTP Server – otwiera na porcie 6970 serwer FTP, daje włamywaczowi możliwość: wyświetlania zawartości katalogu, odczytywania, zapisywania, kasowania plików, tworzenia, kasowania katalogów.
Open Webbrowser – uruchamia stronę internetową w domyślnej przeglądarce
PING! – wysyła pakiet danych na serwer
Read from Drive A: - odczytuje stację dysków na serwerze
Reboot Computer – resetuje komputer
Search For File – szuka pliku na komputerze ofiary
Send Message – wysyła komunikat
Send Text – wysyła tekst do aktywnego na serwerze okienka tekstowego
Set Computer Name – zmienia nazwę komputera użytkownika
Set VolumeLabel For C – ustawia etykietę dysku C:
Show Mouse – pokazuje kursor myszki
Show Task Bar – pokazuje pasek zadań
ShutDown – resetuje komputer
Start Program – uruchamia program na komputerze ofiary
Start Screen Saver – uruchamia wygaszacz ekranu
Switch Window – zmienia dane okno na aktywne
USUNIĘCIE Z SYSTEMU:
• GateCrasher nie jest wykrywany przez programy antywirusowe
• Aplikacją wykrywającą jego działanie jest BOClean 2.01 oraz GateCleaner
• Usunięcie manualne: GateCrasher instaluje się jako C:\WINDOWS\EXPLORE.EXE. Pozostawia też po sobie wpis „Explore”=” EXPLORE.EXE” w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
17. phAse zero 1.0
Twórcą phAse’a jest Njord z grupy Kr0me Corp. Podobnie jak większość koni trojańskich, tak i ten jest przeznaczony na platformy 32-bitowe (a więc będzie działał zarówno pod Windowsem 98, jak i 98 oraz NT). Trojan ma kilka przydatnych włamywaczowi funkcji, np. ma wbudowanego klienta FTP (przeznaczonego do wykonywania operacji dyskowych na komputerze ofiary), możliwość dokonywania zmian w Rejestrze Systemowym ofiary, tzw. IP maskę, czyli dopuszczanie do połączenia się z serwerem osób mających mniej lub bardziej ściśle określony adres IP (np. zawężając kolejno od najmniej określonego: 128.1, 128.12, 128.12.1, 128.12.13, 128.12.13.1), możliwość konfiguracji: wpisu w rejestrze, nazwy pliku i portu serwera poprzez program instalacyjny. Dużym utrudnieniem w manualnym wykryciu zainstalowanego do systemu konia trojańskiego jest jego zmienna wielkość. Domyślnie instaluje się on na porcie 555. Dostępne funkcje:
ftp upload – zgrywa pliki na komputer ofiary
ftp download – ściąga pliki z komputera ofiary
execute – uruchamia aplikację na serwerze (widoczną lub nie dla użytkownika)
change directory – zmienia katalog
list directory – wyświetla listę katalogów
create directory – tworzy katalog
remove directory – usuwa , zmienia nazwę katalogu
show current dir
copy file – kopiuje plik
move file – przenosi plik
rename file – zmienia nazwę pliku
delete file – kasuje plik
type file – wyświetla zawartość pliku tekstowego
hex type file – wyświetla zawartość pliku binarnego
show dialog box – pokazuje okienko dialogowe z tekstem na serwerze
lockup server – blokuje serwer
reg create key – tworzy klucz w rejestrze systemowym
reg delete key – kasuje klucz w rejestrze systemowym
reg delete value – kasuje wpis w rejestrze
reg check key – sprawdza istnienie klucza lub wpisu
reg set current key – ustawia dany klucz jako otwarty
reg read key value – odczytuje dany wpis w kluczu
reg write key value – tworzy wpis w kluczu
reg list keys – wypisuje dostępne podklucze w otwartym kluczu
reg list values – wypisuje dostępne wpisy w otwartym kluczu
terminate session – kończy sesję serwera
unload server – kończy sesję serwera i odinstalowuje serwer
USUNIĘCIE Z SYSTEMU:
• phAse zero jest wykrywany przez markowe programy antywirusowe
• Nie ma na razie aplikacji wykrywających jego działanie.
• Usunięcie manualne: phAse zero instaluje się jako C:\WINDOWS\EXPLORE.EXE. Pozostawia też po sobie wpis w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
NAJCZĘŚCIEJ UŻYWANE PRZEZ KONIE TROJAŃSKIE PORTY:
31 – Master’s Paradise
555 – StealthSpy, phAse
1001 – Web EX
1025 – NetSpy
1981 – Bowl
1999 – Backdoor 2
5000 – Sockets de Troie
6969 – GateCrasher
12345 – NetBus
12346 – NetBus
21554 – GirlFriend
31337 – BO, T5Port
33333 – Prosiak
40421 – Master’s Paradise
40426 – Master’s Paradise
44444 – Prosiak
Czas czytania: 48 minut
Treść zweryfikowana i sprawdzona
Zgodnie z misją, Redakcja serwisu dokłada wszelkich starań, aby dostarczać rzetelne i sprawdzone treści edukacyjne.
Dodatkowe oznaczenie "Sprawdzona treść" wskazuje, że dany materiał został zweryfikowany przez Redakcję lub ekspertów współpracujących z serwisem.
Weryfikacja tekstu odbywa się na następujących poziomach:
1. Sprawdzenie tekstu pod kątem ewentualnych błędów ortograficznych, stylistycznych, interpunkcyjnych lub innych.
2. Weryfikacja tekstu pod kątem błędów rzeczowych.
3. Sprawdzenie materiału pod kątem ich aktualności.
Dodatkowe oznaczenie "Sprawdzona treść" wskazuje, że dany materiał został zweryfikowany przez Redakcję lub ekspertów współpracujących z serwisem.
Weryfikacja tekstu odbywa się na następujących poziomach:
1. Sprawdzenie tekstu pod kątem ewentualnych błędów ortograficznych, stylistycznych, interpunkcyjnych lub innych.
2. Weryfikacja tekstu pod kątem błędów rzeczowych.
3. Sprawdzenie materiału pod kątem ich aktualności.