koń trojański

/ trojan horse /

Pozornie nieszkodliwy program, posiadający ukryte funkcje przeznaczone do zdobycia konkretnego celu - najczęściej ułatwienia przejęcia kontroli nad komputerem bez wiedzy właściciela maszyny.

Koń trojański przyjmuje więc taktykę podobną do mitycznego konia trojańskiego – pozornie daru dla mieszkańców Troi, w rzeczywistości – narzędzia, które posłużyło do zdobycia tego miasta podstępem.

Dziesiątki różnego typu koni trojańskich znaleźć można łatwo w Internecie; do najpopularniejszych należą Back Orifice, NetBus oraz Prosiak (dzieło polskiego programisty).

Sposoby zarażania

W przeciwieństwie do wirusów komputerowych, konie trojańskie zazwyczaj nie posiadają samoreplikującego się kodu ułatwiającego ekspansję (wirusy potrafią kopiować swój kod na dyskietki, z których następnie zarażane są następne komputery). Polegają raczej na swoim twórcy bądź właścicielu kopii, który podrzuca je w widocznym miejscu (na dyskietce na biurku, na swojej stronie WWW) lub rozsyła pocztą elektroniczną nadając im wcześniej niewinną nazwę (np. "Readme", "Info") bądź intrygujący opis.

Bywa też, że program taki opatrzony jest nazwą znanej aplikacji lub też jest zręcznie w nią wkomponowany – tak, by podczas jej uruchomienia wykonał się także jego kod. Najbardziej przewrotnym typem koni trojańskich są programy, który podając się za narzędzia antywirusowe, wykonują czynność dokładnie odwrotną - instalują się w systemie.

Podwójne życie konia trojańskiego...

Na konia trojańskiego składają się zazwyczaj dwa programy: jeden z nich jest instalowanym na maszynie ofiary serwerem i zarazem właściwym "trojanem", drugi zaś klientem służącym do przeprowadzania zdalnych operacji.

Po zainfekowaniu komputera część serwerowa najczęściej kopiuje sama siebie do katalogu systemowego oraz zmienia ustawienia systemu, tak aby przy każdym następnym uruchomieniu maszyny wystartować w sposób automatyczny (zazwyczaj dopisuje nową pozycję usług autostartu w rejestrze). Nie jest przy tym w żaden sposób widoczny dla przeciętnego użytkownika, ponieważ dzięki atrybutowi "hidden" (ukryty) nie ma własnego okna a jego nazwa nie jest wyświetlana w menedżerze zadań.

Serwer często informuje włamywacza o adresie IP komputera-ofiary wysyłając wiadomość e-mail. Innym sposobem odszukiwania potencjalnych ofiar jest "badanie" portów wszystkich komputerów w danej podsieci przy pomocy »skanera portów. W ten sposób odkryć można boczne furtki pozostawione przez innych hakerów.

W kolejnym kroku serwer otwiera jedne z wolnych portów i zaczyna na nim nasłuchiwać spodziewając się napływających ze strony klienta poleceń. Komendy wydawane przez klienta nadchodzą poprzez sieć, przy czym do komunikacji wykorzystywane są tradycyjne protokoły internetowe TCP/IP oraz UDP/IP.

Co potrafią konie trojańskie?

Po przyjęciu komendy klienta, serwer wykonuje je na maszynie ofiary. Możliwości i zestawy poleceń poszczególnych "trojanów" różnią się dość znacznie; te najbardziej zaawansowane posiadają w swoim "repertuarze" takie funkcje jak:

przesyłanie informacji systemowych: nazwy komputera, nazwy użytkownika, typu procesora, wielkości pamięci, wersji Windows, zainstalowanych sterowników, etc.;
wyświetlanie zawartości dysków;
odszukiwanie określonych plików, a także ich wysyłanie, pobieranie, kopiowanie, usuwanie oraz uruchamianie;
tworzenie i kasowanie katalogów;
wyświetlanie i kończenie aktywnych procesów;
udostępnianie rejestrów systemowych;
pobieranie haseł znajdujących się w pamięci podręcznej;
przechwytywanie znaków wprowadzanych przez użytkownika z klawiatury przyłączanie się do zasobów sieciowych;
przechwytywanie transmitowanych informacji;
przekierowywanie połączeń;
uruchomienie prostego serwera HTTP dającego dostęp do komputera przez przeglądarkę;
zawieszanie komputera;
wyświetlanie okien z dowolnymi komunikatami;
odgrywanie plików dźwiękowych;

Zaawansowane konie trojańskie mogą być rozszerzane o dodatkowe funkcje poprzez zastosowanie plug-inów. Takie wtyczki mogą być rozprowadzane wraz z serwerem lub przesyłane do serwera i tam instalowane.

Czy mam "trojana"?

To, jak podrzucony do naszego systemu koń trojański wpływać będzie na zachowanie komputera, zależy od włamywacza, który kierować nim będzie za pomocą programu-klienta. Z pewnością powodem do podejrzeń będzie wystąpienie takich niecodziennych zachowań komputera jak długotrwałe "mielenie" dyskiem twardym, znikanie plików i katalogów, ikona połączenia internetowego wskazująca na ciągły transfer danych, mimo iż aktualnie nie wykonujemy żadnych czynności w sieci czy nagłe zawieszanie się komputera.

Odgrywanie przez komputer przypadkowych dźwięków, nagłe wysuwanie tacki napędu CD lub dziwne komunikaty w okienkach to ulubione "dowcipy" włamywaczy i niemal pewny znak, iż naszą maszyną interesuje się ktoś z zewnątrz...

Nie daj się zaatakować

Internet stanowi obecnie najczęstszą drogę przenoszenia się koni trojańskich. Z tego powodu zaleca się pobieranie plików tylko z miejsc godnych zaufania – np. z sekcji "download" prowadzonych przez duże internetowe serwisy poświecone komputerom.

Jeżeli korzystamy z usługi IRC, należy w posiadanym kliencie IRC-a wyłączyć opcję pozwalającą na automatyczne przyjmowanie plików. Pod żadnym pozorem nie należy zgadzać się na przyjęcie pliku od osób przypadkowo poznanych na kanale IRC – w przeważającej części są to bowiem zamaskowane konie trojańskie.

Daleko posunięta ostrożność zalecana jest nawet w przypadku plików binarnych otrzymanych od znajomych; mogą oni nie zdawać sobie sprawy, iż ich pliki są zarażone, dlatego warto poddać je działaniu programu antywirusowego. Ten zaś z pewnością wart jest niewielkiej inwestycji – posiadając markowy program antywirusowy otrzymujemy zazwyczaj funkcje pozwalające na automatyczne uaktualnianie bazy wirusów przez Internet.

Istnieją również aplikacje nastawione na wykrywanie wyłącznie koni trojańskich, a także programy dedykowane tylko jednemu z nich.

Po fakcie - jak usunąć konia trojańskiego z systemu?

Jeżeli podejrzewamy, że w naszym systemie osiedlił się koń trojański, pierwszą czynnością powinno być przeskanowanie systemu programem antywirusowym z najnowszym zbiorem wirusów.

Dobrym sposobem pozbycia się uciążliwego gościa jest posłużenie się jednym ze specjalizowanych programów do dekonspiracji "trojanów" - najbardziej wszechstronnym jest The Cleaner (wykrywa m.in. rodziny NetBusa i Back Orifice'a). Z innych "anty-trojanów" warto wymienić: NetBus Remover, BOClean, BODetect i NOBO - trzy ostatnie koncentrują się na wykrywaniu Back Orifice'a.

Niestety, powyższe sposoby nie są zbyt pomocne w wykrywaniu np. mniej znanych lub rodzimej produkcji koni trojańskich. W takim przypadku trzeba już spróbować "ręcznych" metod, do czego przydaje się nieco większa wiedza o działaniu naszego systemu operacyjnego. Ponieważ każdy serwer "trojana" stara się nasłuchiwać na pewnym porcie komputera, należy rozpocząć od wykrycia i sprawdzenia wszystkich otwartych portów. Do tego celu służą specjalne programy, tzw. skanery portów. Można również posłużyć się narzędziem systemowym – w Windows jest to program netstat uruchamiany z linii poleceń. Szczególnie podejrzane są porty domyślne dla określonych rodzajów koni trojańskich.

Po zlokalizowaniu aktywnego, zajętego przez "trojana" portu, rozpoczyna się najbardziej mozolna praca polegająca na odkryciu sposobu, w jaki program ten uruchamiany jest w systemie. Za automatyczny start konia trojańskiego odpowiada najczęściej jeden z wpisów do rejestru systemowego. Należy więc skorzystać z edytora rejestru (regedit.exe) i wykasować z jego pomocą ukryte w jednej z gałęzi rejestru polecenie autostartu intruza. To, jaki wpis wykasować powie nam lista aktywnych procesów, którą w Windows wyświetlić można korzystając z programu Informacje o systemie (Start | Akcesoria | Narzędzia systemowe | Informacje o systemie). Należy przy tym uważać - podejrzany proces będzie bowiem najpewniej posiadał nazwę łudząco podobną do któregoś z procesów systemowych – to kolejny podstęp mający na celu zamaskowanie "trojana". Na zakończenie - już po restarcie systemu - usuwamy z dysku plik zawierający konia trojańskiego.