Strona główna » Liceum » Przedmioty ścisłe » Informatyka


Konie trojanskie



Poprzednia praca: Historia maszyn cyfrowych.
Następna praca: Programy graficzne



Treść: OPIS NAJPOPULARNIEJSZYCH KONI TROJAŃSKICH
Przedstawiam opisy 20 najpospolitszych koni trojańskich (wraz z różnymi ich wersjami) na które natknąć może się użytkownik. Autor zdaje sobie sprawę z tego, iż nie są to wszystkie backdoory, jakie się pojawiły w sieciach komputerowych, jednakże opisane zostały te z nich, które są najpopularniejsze. Programy zostały podzielone na dwie kategorie:
·Aplikacje nie mające GUI, a więc takie, których klientem jest program Telnet
·Aplikacje z własnym GUI, składające się z dwóch części: instalowanym na komputerze ofiary SERWERZE i KLIENCIE uruchamianym na komputerze włamywacza
APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ TELNET:
1.T5Port 1.0
Mały (18 432B) koń trojański, autorem którego jest bliżej nie znany osobnik o nicku (icta). Najprostszy z trojanów w swojej kategorii, jeden z pierwszych. Nie ma żadnego programu instalacyjnego czy też konfiguracyjnego. Zajmuje port 31337 na komputerze ofiary. Połączenie odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet przez wybieranie w menu Połącz opcję System Zdalny i wpisaniu w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 31337. Po nawiązaniu łączności wpisujemy domyślne hasło, którego zmienić nie można. Jest nim kojarzące się jednoznacznie słowo „satan”. Uruchomiony na komputerze ofiary aktywny jest tylko przez czas trwania sesji Windows. Aby się w nim zagnieździć, potrzebny jest ręczny wpis do Rejestru Systemowego. Oznacza to, iż łatwo go dezaktywować, ale znacznie trudniej wykryć w systemie (włamywacz może nadać mu taką nazwę, jaka tylko mu przyjdzie na myśl). Jest on niezbyt rozbudowany, o czym świadczą komendy podobne do tych, które znamy z systemu MS-DOS:
Řexec ... – uruchamia aplikację na komputerze ofiary
Řcmd ... – uruchamia komendę systemową
Řannoy – wyświetla komunikat o błędzie
Řshutdown – resetuje komputer ofiary
Řexit – zamyka sesję
Řdie – „zabicie” sesji serwera (usunięcie go z pamięci)
Řhelp – wyświetlenie pomocy
USUNIĘCIE Z SYSTEMU:
T5Port nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:
·Sprawdź za pomocą skanera portów, czy jest otwarty port 31337 (uwaga: ten port jest również używany przez Back Orifice’a). Jeśli jest, wówczas musisz sprawdzić, jakie są uruchomione procesy w obecnej sesji Windows (opisane wyżej w dziale USUWANIE RĘCZNE). Ustal, jak nazywa się potencjalny trojan (nie jest możliwe dokładne ustalenie nazwy – każdy z uruchomionych programów może być backdoorem). Jeśli znasz już nazwę pliku, to poszukaj go na twoich dyskach lokalnych i porównaj z podanym wyżej rozmiarem. Jeśli będzie pasował – masz 90-cio % szansę, że jest to trojan (jeśli nie – to nim nie jest lub jest to inna wersja). Następnie uruchom Edytor Rejestru (pamiętaj o sporządzeniu kopii plików systemowych) i znajdź klucz o nazwie takiej jak nazwa pliku (powinien być w: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRUN lub ~RUNONCE, lub ~RUNSERVICES itp.). Skasuj klucz będący nazwą ustalonego pliku. Jeśli w katalogach RUN, RUNONCE, RUNSERVICES, itp. nie ma takiej nazwy, to masz ułatwione zadanie – trojan nie jest zapisany do Rejestru i wystarczy zresetować Windows, aby zginął śmiercią naturalną.
·Zresetuj system
·Po ponownym uruchomieniu odszukaj backdoora na twoim dysku lokalnym i usuń go do kosza – jeśli system skasuje go, to pozbyłeś się trojana. W przeciwnym wypadku poinformuje ciebie, że „podany plik jest używany przez system Windows”. Trzeba więc znowu wrócić do pierwszego kroku i zlokalizować trojana (przywracając skasowany plik i pliki rejestru z uprzednio stworzonego katalogu zapasowego)
2.BOWL 1.0
Autorem programu jest osoba o niewiele mówiącym nicku: !brainwat. Program składa się z dwóch plików: głównego o nazwie bowl.exe (38 912b) i pomocniczego służącego do konfiguracji o nazwie config.exe (15 360b). Konfiguracja polega na ustawieniu hasła serwera (domyślnym hasłem jest allnewbowl) i zainstalowaniu go w systemie. Komunikacja z serwerem odbywa się poprzez program służący do łączenia się z terminalem, np. Telnet wybierając w menu Połącz opcję System Zdalny i wpisując w Nazwie Hosta adres IP atakowanego komputera, a w Porcie wartość 1981. Po nawiązaniu łączności wpisujemy skonfigurowane wcześniej hasło. Po tym zabiegu powinien w naszym oknie telnetowym pokazać się serwer Bowla, który poda konfigurację systemu ofiary. W przypadku błędnego hasła połączenie zostanie zerwane. Komendy wydawane są na wzór MS DOSa. Dostępne polecenia to:
Řbeep – generuje sygnał dźwiękowy
Řcat - wyświetlenie zawartości plików
Řcd/chdir - przechodzenie między katalogami
Řclear – wyczyszczenie ekranu
Řcmd[v] – uruchamia niewidzialnego dla ofiary command.com-a [Tryb MS-DOS]
Řcmdr – uruchomienie programu i wypisanie rezultatu po jego zakończeniu (przerwanie – klawisz ESC)
Řdel/rm – usunięcie pliku/plików
Řdie – „zabicie” sesji serwera (usunięcie go z pamięci)
Řdir/ls – wyświetlenie istniejących katalogów
Řerrormsg – wyświetla komunikat o błędzie
Řexec[v] - uruchamia program niewidzialny dla ofiary [widzialny]
Řfreeze – zawiesza system ofiary
Řget – ściągnięcie pliku z komputera ofiary (włamywacz uruchamia u siebie przeglądarkę internetową i wpisuje adres: http://IP.ofiary:1982/nazwa_pliku)
Řgraphoff – wyłącza tryb graficzny
Řkill – „zabija” aktywny proces
Řmd/mkdir – stworzenie katalogu
Řpasswd – wypisuje hasła: MS Internet Mail, Netscape Navigator oraz zasobów sieciowych
Řps – lista aktywnych procesów (nazwa procesu | numer procesu | ścieżka dostępu programu)
Řquit – zamknięcie klienta
Řrd/rmdir – usunięcie pustych katalogów
Řshutdown – resetowanie komputera ofiary
Řswapmouse – zamiana klawiszy myszki
Řtelnet – łączenie się telnetem z innym hostem
Řvied – prosty edytor tekstu (do 1024 linii i 256 znaków na każdą)
USUNIĘCIE Z SYSTEMU:
Bowl nie jest wykrywany przez programy antywirusowe. Należy usunąć go manualnie:
·usuń z Rejestru Systemowego w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices wpis: „NetworkPopup”
·zresetuj system
·usuń plik C:WINDOWS
etpopup.exe
·zobacz, czy na twoim dysku nie ma pliku bowl.exe
3.ACID SHIVER
AS to potężne narzędzie służące nie tylko do przejmowania kontroli nad czyimś komputerem, ale również do generowania konia trojańskiego, który zostanie uruchomiony na komputerze ofiary. Pakiet składa się z dwóch części: aplikacji konfiguracyjnej [domyślnie nazywa się: ACiD Setup.exe (14 336b)] oraz serwera [domyślnie: AciDShivers.exe (186 368b)]. Za pomocą pierwszej włamywacz tworzy dowolnie nazywający się plik, w skład którego wchodzą: serwer oraz takie dane, jak: serwer SMTP (służący do przesyłania poczty) i adres emailowy włamywacza. Aplikacja ma ikonę łudząco przypominającą programy instalacyjne dystrybuowane przez Microsoft. Backdoor wyróżnia się na tle innych: aplikacja próbuje w każdej sesji Windows połączyć się ze skonfigurowanym przez włamywacza serwerem pocztowym i wysłać na podany przez niego adres informację o posiadanym przez ofiarę numerze IP oraz porcie, przez który możliwa będzie komunikacja (port ten zmienia się za każdym razem!). Na nic więc się przyda w sieci lokalnej nie osiadającej własnego serwera pocztowego. Na dodatek AS to projekt otwarty: udostępniany jest wraz z kodem źródłowym i każdy użytkownik-programista może dodać coś od siebie. Na szczęście AS wykrywany jest przez większość markowych programów antywirusowych. Serwer potrzebuje do działania następujące pliki: MSvbvm50.dll oraz MSwinsck.ocx. Autor zetknął się z następującymi komendami (AS szybko ewoluuje w Internecie):
ŘHelp (komenda) – pomoc (szczegółowa)
ŘBEEP - generuje #-razy dźwięk
ŘBOUNCE - przekierunkowanie połączenia na dany host i port
ŘCAT - wyświetla zawartość pliku
ŘCD - zmiana katalogu
ŘCLS – czyszczenie ekranu
ŘCMD - uruchamia komendę
ŘCOPY - kopiuje plik1 na plik2
ŘDATE – pokazuje datę
ŘDEL - skasowanie pliku
ŘDESK – zmienia na domyślny katalog z zawartością Pulpitu
ŘDIE – wyłącza AS
ŘDIR – wyświetla listę katalogów
ŘDRIVE - podaje informację o napędzie
ŘDRIVES – wyświetla dyski fizyczne, ram-dyski, CD-ROM-y, sieciowe
ŘENV – wyświetla zmienne systemowe DOS-a
ŘGET - ściąga z serwera plik
ŘHIDE - schowanie aplikacji o danym (identyfikatorze) widocznej w menedżerze programów (lista aplikacji pokazująca się po wciśnięciu kombinacji: CTRL+ALT+DEL)
ŘINFO – pokazuje informację o komputerze ofiary i użytkowniku
ŘKILL – „zabicie” aktywnego procesu
ŘLABEL - zmienia etykietę dysku
ŘLS – to samo co DIR
ŘMKDIR - zakłada katalog
ŘNAME - zmienia nazwę komputera ofiary
ŘPORT - zmiana portu AS (dostępny po zresetowaniu serwera)
ŘPS – lista aktywnych procesów
ŘRMDIR - przenosi katalog wraz z podkatalogami i plikami
ŘS – wysyła kombinację klawiszy do aktywnej aplikacji
ŘSH - jw. i pokazuje rezultat
ŘSHOWs - pokazanie aplikacji jw.
ŘSHUTDOWN – resetuje serwer
ŘTIME – pokazuje czas
ŘVERSION – pokazuje numer wersji AS
USUNIĘCIE Z SYSTEMU:
·AS jest wykrywany przez markowe programy antywirusowe
·Nie ma na razie aplikacji wykrywających jego działanie.
·Można usunąć go manualnie: AS pozostawia po sobie wpis „Explorer” = „C:WINDOWSMSGSVR16.EXE” (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczach: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices.Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku: C:WINDOWSMSGSVR16.EXE.
Istnieje również zmieniona przez LEENTech Corporation (Living in an Evolution of Enhanced Networking Technology) wersja AcidShiver. Różni się nie tylko wielkością serwera (188 416b), ale również jego nazwą (tour98.exe) i wpisem „WinTour” = „C:WINDOWSWINTOUR.EXE” w rejestrze (w kluczach: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun i HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices). Dodano również nowe funkcje:
ŘBCAT lub BGET - wyświetla zawartość pliku binarnego
ŘMACADDR – pokazuje status połączenia ethernetowego
ŘRECENT – kasuje folder RECENT (z ostatnio uruchomionymi dokumentami)
ŘSTATUS – pokazuje status wszystkich używanych od początku sesji Windows portów
ŘWSFTP – ustawia domyślny folder WS_FTP
Nowy AS nie jest jeszcze wykrywany przez programy antywirusowe (Autor ma programu Norton AntiVirus z sygnaturą z dnia 26 marca 1999 r., nowa wersja AS testowana była dnia 7 kwietnia 1999 r.).
APLIKACJE STERUJĄCE KOMPUTEREM OFIARY PRZEZ KLIENTA:
1.BACK ORIFICE
Stworzony przez Cult of the Dead Cow Communications Back Orifice jest potężnym narzędziem do administracji komputerem ofiary. Łączy w sobie cechy wcześniejszych aplikacji (Bowla, T5Porta), udostępniając konsolę tekstową oraz aplikacji klient-serwer, udostępniając ładny, niestandardowy interfejs GUI. Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Instalacja przebiega szybko i sprawnie: pakiet składa się z kilku plików:
bo.txt – dokumentacja BO (15 184b)
plugin.txt – dokumentacja pluginów BO (914b)
boserve.exe – samoinstalujący się serwer BO (124 928b)
bogui.exe – klient graficzny BO (284 160b)
boclient.exe – klient tekstowy BO (57 856b)
boconfig.exe – konfiguracja BO (28 672b)
melt.exe – dekompresor plików spakowanych programem freeze (29 184b)
freeze.exe – kompresor plików (33 280b)
Najważniejszą częścią BO jest serwer o nazwie boserve.exe. Wystarczy uruchomić go kliknięciem lub naciśnięciem klawisza ENTER, aby zainstalował się „bezszelestnie” w katalogu systemowym. Aby skonfigurować serwer, należy posłużyć się programem boconfig.exe, który może również dołączyć się do innych plików wykonywalnych w ten sam sposób jak to robią wirusy. Dwa kolejne wykonywalne pliki w pakiecie są używane przez konia trojańskiego podczas kompresji (freeze) / dekompresji (melt) plików na komputerze ofiary. Uruchomiony po raz pierwszy serwer BO tworzy plik windll.dll w katalogu systemowym Windows (plik ten jest zawarty w kodzie konia trojańskiego), potem wyszukuje aktualnie uruchomione przez ewentualną poprzednią wersję programu procesy, zakańcza je i uaktualnia uruchamiając własne, kopiuje sam siebie do katalogu systemowego Windows (pod nazwą ".exe" i rejestruje się w rejestrze jako jedna z usług autostartu). Później przydziela sobie port numer 31337 (identyczny do T5Port) i zaczyna nasłuchiwać na tym porcie. Komendy można wydawać albo za pomocą aplikacji o graficznym GUI lub na konsoli tekstowej. Zależnie od wydanego polecenia trojan może podejmować następujące działania:
ŘApp add – uruchamia tekstowe aplikacje gotową do „nasłuchu” przez port (dostępne później przez np. Telnet)
ŘApp del – zatrzymuje wystartowaną wyżej aplikację
ŘApps list – wyświetla listę uruchomionych wyżej aplikacji
ŘDirectory create – tworzy na serwerze katalog
ŘDirectory list – wyświetla listę katalogów na serwerze
ŘDirectory remove – usuwa katalogi
ŘExport add
ŘExport delete
ŘExports list
ŘFile copy – kopiuje plik/pliki
ŘFile delete –kasuje plik/pliki
ŘFile find –szuka plik/pliki
ŘFile freeze – kompresuje plik/pliki
ŘFile melt – dekompresuje plik/pliki
ŘFile view – przegląda plik tekstowy
ŘHTTP Disable – wyłącza serwer http
ŘHTTP Enable - włącza serwer http (można uzyskać dostęp do komputera przez przeglądarkę)
ŘKeylog begin – loguje sekwencję wciskanych przez ofiarę klawiszy
ŘKeylog end – kończy logowanie
ŘMM Capture avi – przechwytuje obraz video wraz z dźwiękiem z serwera
ŘMM Capture frame – przechwytuje pojedyncze klatki
ŘMM Capture screen – przechwytuje obraz (screenshot)
ŘMM List capture devices – lista przechwytujących urządzeń
ŘMM Play sound – odtwarza dźwięk na serwerze
ŘNet connections – lista połączeń sieciowych
ŘNet delete – odłącza serwer ofiary od sieci
ŘNet use – przyłącza serwer ofiary do sieci
ŘNet view – wyświetla wszystkie informacje dotyczące sieci (serwery, udostępnione katalogi/dyski)
ŘPing host – pinguje serwer
ŘPlugin execute – uruchamia plugin BO
ŘPlugin kill – kończy działanie pluginu BO
ŘPlugins list – wyświetla listę dostępnych pluginów BO
ŘProcess kill – kończy proces
ŘProcess list - wyświetla listę dostępnych procesów
ŘProcess spawn – uruchamia program jako ukryty / widzialny na serwerze
ŘRedir add - przekierunkowuje zasoby TCP/IP (połączenia)
ŘRedir del – usuwa przekierunkowania zasobów TCP/IP
ŘRedirs list - wyświetla listę dostępnych przekierunkowań zasobów TCP/IP
ŘReg create key – tworzy klucz w Rejestrze Systemowym
ŘReg delete key – kasuje klucz
ŘReg delete value – kasuje wartość klucza
ŘReg list keys – wyświetla listę kluczy rejestru
ŘReg list values – wyświetla wartość klucza
ŘReg set value – ustawia wartość klucza (binarną, DWORD, string)
ŘResolve host – zamienia nazwę domeny na adres IP
ŘSystem dialogbox – wyświetla okienko dialogowe z komunikatem i przyciskiem „OK”
ŘSystem info – wyświetla informacje o serwerze
ŘSystem lockup – skutecznie zawiesza system
ŘSystem passwords – podaje hasła systemowe serwera
ŘSystem reboot – resetuje serwer
ŘTCP/IP file receive – łączy serwer z podanym IP i zapisuje do pliku ściągnięte dane
ŘTCP/IP file send – łączy serwer z podanym IP i przesyła doń dane
Koń trojański może rozbudowywać swoje możliwości poprzez wbudowane plug-iny. Mogą one być wysyłane do "serwera" i instalowane.
USUNIĘCIE Z SYSTEMU:
·Back Orifice jest wykrywany przez programy antywirusowe. Jeśli dysponujesz najnowszą sygnaturą wirusów, to problem BO masz z głowy. Jeśli nie, to będziesz zmuszony ściągnąć ją z Internetu
·Możesz także użyć programów do wykrywania BO. W Sieci znajdziesz ich całą masę. Najbardziej znane to: Bored 0.2 executable i BoDetect v1.0.2. oraz NOBO.
·Manualnie: uruchom Edytor Rejestru (regedit.exe) i znajdź klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices. Usuń wartość o nazwie: (domyślna) „ .exe”. Zresetuj system. Z katalogu C:WINDOWSSYSTEM usuń pliki: .exe (uważaj, bo w zwykłym menedżerze plików prawie go nie widać – zamiast ikony jest przerwa. Najlepiej ustawić w menu Widok|Szczegóły,
wówczas obok pustego miejsca będzie jeszcze wyszczególniony rozmiar pliku i jego rodzaj – Aplikacja) i windll.dll. Twój system jest od tej pory bezpieczny.
2.DEEP THROAT REMOTE 1.0
Napisany przez The DarkLIGHT Corporation.Deep Throat składa się z dwóch plików: serwera systempatch.exe (260 971b) oraz klienta RemoteControl.exe (271 959b). Serwer DTR 1.0 nie jest zabezpieczany hasłem, dostęp do niego jest więc możliwy z każdego klienta programu. Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Wyposażony został w „podstawowe” funkcje:
ŘOtwieranie i zamykanie CD-ROMu na serwerze
ŘUruchamianie okienka dialogowego z komunikatem
ŘChowanie/przywracanie paska startowego Windows
ŘSerwer FTP umożliwiający ściągnięcie dowolnego pliku z komputera ofiary (aby tego dokonać niezbędny jest klient FTP, np. Cute FTP lub WS_FTP)
ŘZrzut ekranu serwera (dzięki temu można zobaczyć aktualny ekran na serwerze, np. pulpit ofiary)
ŘOtwarcie adresu internetowego na serwerze
ŘWłącza tryb oszczędzania energii, który może być wyłączony tylko przez włamywacza
ŘW wersji późniejszej niż 1.0 kradnie hasła systemowe
ŘUruchamia programy na serwerze (widzialne lub nie dla użytkownika)
ŘResetuje serwer
ŘSkaner obecności serwera DTR na hostach
ŘPingowanie (przesyłanie pakietu informacji) hosta w celu sprawdzenia aktywności serwera DTR
ŘPodanie dokładnych informacji o komputerze ofiary
USUNIĘCIE Z SYSTEMU:
·DTR jest wykrywany przez większość znanych programów antywirusowych
·Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
·Uruchom Edytor Rejestru i odnajdź klucz o nazwie: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. W kluczu tym znajdź wpis „SystemDLL32” i zapamiętaj nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSTEMPATCH.EXE”). Skasuj wpis.
·Zresetuj komputer. Po ponownym uruchomieniu Windows odszukaj na dysku aplikację i skasuj ją. Twój system jest od tej pory bezpieczny.
3.MASTER’S PARADISE
W przypadku MP znamy jego twórcę. Jest nim niemiecki programista Dan Lehman. Podobnie jak jego poprzednicy, MP składa się z dwóch części. Serwer może być dołączony do praktycznie każdej aplikacji. W Internecie upowszechnił się poprzez dołączenie do popularnej gry-parodii o tytule: "Pie Bill Gates" (rzucanie ciastkiem w B. Gatesa), gdzie zagnieździł się w pliku GAME.EXE. Uruchamiając na swoim komputerze grę zarażamy jednocześnie system koniem trojańskim (najczęściej poprzez zainstalowanie gry, której nielegalna dystrybucja rozpowszechniona jest w samorozpakowujących się archiwach programu TurboSFX). Aplikacja działa tylko na komputerach z zainstalowanym systemem: Windows 95 i 98. Program wyposażono w różne funkcje:
ŘOtwieranie/zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu)
Ř„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków
ŘChowanie, pokazywanie i wyłączanie okien aplikacji na serwerze
ŘGenerowanie dźwięku wciskanych klawiszy
ŘNagrywanie dźwięku przez mikrofon ofiary
ŘNawigacja myszką ofiary (poprzez współrzędne lub manualnie – sterowanie własną)
ŘOdtworzenie dźwięku na komputerze ofiary
ŘOtwarcie adresu internetowego na serwerze
ŘPrzesyłanie dowolnych plików na serwer
ŘScreenshot – zrzut ekranu ofiary
ŘŚciąganie i kasowanie dowolnego pliku na serwerze
ŘUruchomienie aplikacji na serwerze
ŘWyłączenie dowolnego klawisza
ŘWysłanie komunikatu do ofiary.
ŘWysyłanie tekstu do aktywnej aplikacji.
ŘWyświetlenie dokładnej informacji o komputerze
ŘWyświetlenie na ekranie ofiary obrazka.
ŘZamiana przycisków myszki: prawy na lewy i na odwrót
ŘZmiana głośności dźwięku
ŘZresetowanie, wylogowanie ofiary.
USUNIĘCIE Z SYSTEMU:
·MP jest wykrywany przez większość znanych programów antywirusowych
·Usuwa go także aplikacja wykrywająca Back Orifice’a: BOClean 2.01
·Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
·MP instaluje się do systemu poprzez zastąpienie programu SYSEDIT.EXE swoim serwerem oraz biblioteki KeyHook.DLL znajdującej się w katalogu Windows lub systemowym (C:WINDOWS lub C:WINDOWSSYSTEM). O ile odzyskanie tego pierwszego pliku nie sprawia większych trudności (jest dołączany do każdej dystrybucji programu instalacyjnego systemu), to z przywróceniem drugiego pliku są już większe problemy: jest on dołączany do niektórych tylko programów – trzeba więc znaleźć go w ich wersjach instalacyjnych lub w Internecie.
·Uruchom Edytor Rejestru i odnajdź klucz o nazwie: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. W kluczu tym znajdź wpis i zapamiętaj nazwę skojarzonej z nim aplikacji (powinna się nazywać: „SYSEDIT.EXE”). Skasuj wpis.
·Zresetuj komputer. Po ponownym uruchomieniu Windows odszukaj na dysku aplikację i skasuj ją. Skasuj również bibliotekę KeyHook.DLL. przywróć powyższe pliki z oryginalnych wersji instalacyjnych. Twój system jest od tej pory bezpieczny.
4.NETBUS 1.60, 1.70, 2.0
Podobnie jak w przypadku wcześniejszego Master’s Paradise znamy twórcę Netbus’a. Jest nim Carl-Fredrik Neikter. Co ciekawsze, wersja 2.0 jest programem shareware, który należy zarejestrować [istnieją 2 rodzaje licencji: na „użytek domowy” oraz dla firm i organizacji (pojedyncze lub stanowiskowe)]. Opłata jest związana, jak twierdzi autor, nie z komercyjną działalnością, ale ze wsparciem jego działań. Wersja 1.6 składa się z dwóch najważniejszych plików (nie mówiąc o dokumentacji): serwera o nazwie Patch.exe (472 576b) oraz klienta – NetBus.exe (567 296b). Wersja 1.7 to pliki o tej samej nazwie, ale innym rozmiarze: 494 592b (serwer) i 599 552b (klient). Obie wersje instalują się domyślnie na portach 12345 lub 12346. Najnowsza wersja rozpowszechniana jest w charakterystycznej dla znanych programów dystrybucji InstallShield(r) Wizard (rysunek) i jej serwer zajmuje domyślnie port 20034.
Ustawienia serwera zmienić można programem instalacyjnym (NetBus 2.0 - rysunek) lub po połączeniu się z nim klientem (każdy). W wersjach wcześniejszych od 2.0 wystarczy tylko uruchomić serwer (jego nazwa może się dowolnie różnić od patch.exe, można też stosować parametry: /noadd, /remove, /pass:xxx, /port:xxx), aby stał się aktywny podczas każdej sesji Windows.
NetBus ma funkcje podobne do wcześniejszych koni trojańskich. Są to:
ŘOtwieranie, zamykanie CD-ROM-u (pojedyncze lub w określonych odstępach czasu)
Ř„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków
ŘChowanie, pokazywanie i wyłączanie okien aplikacji na serwerze
ŘGenerowanie dźwięku wciskanych klawiszy
ŘNagrywanie dźwięku przez mikrofon ofiary
ŘNawigacja myszką ofiary (poprzez współrzędne lub manualnie – sterowanie własną)
ŘOdtworzenie dźwięku na komputerze ofiary (format WAV)
ŘOtwarcie adresu internetowego na serwerze
ŘPowiadamianie emailowe o obecności w sieci ofiary
ŘPrzesyłanie dowolnych plików na serwer
ŘPrzekierunkowanie danych ze specyficznego portu na podany host i na odwrót (możliwość sterowania aplikacją ofiary z komputera włamywacza przez konsolę telnetową)
ŘScreenshot – zrzut ekranu ofiary
ŘSkaner serwerów NetBusa w sieci
ŘŚciąganie i kasowanie dowolnego pliku na serwerze
ŘUruchomienie aplikacji na serwerze
ŘWyłączenie dowolnego klawisza
ŘWysłanie komunikatu do ofiary.
ŘWysyłanie tekstu do aktywnej aplikacji.
ŘWyświetlenie dokładnej informacji o komputerze
ŘWyświetlenie na ekranie ofiary obrazka (w formacie BMP i JPG)
ŘZamiana przycisków myszki: prawy na lewy i na odwrót
ŘZmiana głośności dźwięku
ŘZmiana konfiguracji serwera NetBusa (port, hasło, itp.)
ŘZresetowanie, wylogowanie ofiary.
W wersji 2.0 dodano:
ŘZmieniono GUI
ŘZwiększono wydajność
ŘZmieniono menedżera plików
ŘZmieniono menedżera okien
ŘDodano menedżera Rejestru Systemowego
ŘDodano menedżera pluginów
ŘDodano możliwość ściągnięcia filmu z serwera
ŘDodano możliwość wykradzenia haseł systemowych
ŘDodano klienta Chatu z innymi użytkownikami NetBusa (sic!)
USUNIĘCIE Z SYSTEMU:
·NetBus jest wykrywany przez większość znanych programów antywirusowych
·Usuwa go także aplikacja NetBus Remover
·Jeśli nie masz programu wykrywającego wirusy lub najnowszej sygnatury znanych wirusów możesz usunąć program ręcznie lub ściągnąć sygnaturę z Internetu.
·Wykrycie NetBusa jest trudne, ponieważ jego serwer może przyjąć każdą nazwę. Na szczęście można go odkryć w Rejestrze Systemowym. NetBus pozostawia takie wpisy jak: HKEY_CURRENT_USERNETBUS 1.6, HKEY_CURRENT_USERNETBUS 1.7, HKEY_CURRENT_USERNetBus, HKEY_CURRENT_USERNetBus Server (dwa ostatnie to wersja 2.0, wtedy wystarczy tylko odszukać klucz HKEY_CURRENT_USERNetBusTransfer, w którym podana jest ścieżka serwera, usunąć dwa wcześniejsze klucze, zresetować komputer i w następnej sesji Windows usunąć serwer oraz plik NBHelp.dll). Wcześniejsze wersje NetBusa trudniej jest wykryć (chyba że włamywacz nie pofatygował się i nie zmienił nazwy serwera – wówczas jest nim plik o nazwie Patch.exe). NetBus w wersji 1.6 i 1.7 zostawia charakterystyczny wpis w Rejestrze: HKEY_CURRENT_USER
azwa_serwera_w_wersji_1.6_lub_1.7. Znając nazwę można usunąć konia trojańskiego kasując w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis o nazwie takiej, jak nazwa serwera (czyli np. jeśli nasz serwer nazywa się serwer.exe, to zostawia takie klucze w Rejestrze, jak: 1. HKEY_CURRENT_USERSERWER, 2. A w HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: nazwa „SERWER” – dane „ścieżka_dostępuserwer.exe”. Wystarczy usunąć te dwa wpisy, zresetować komputer i manualnie usunąć serwer z dysku, aby pozbyć się ostatecznie NetBusa.
5.PROSIAK 0.47, 1/2
Program o swojsko brzmiącej nazwie Prosiak jest ewenementem, jeśli chodzi o twórczość polskich programistów (nawet jeśli chodzi o tak delikatną kwestię, jak włamywanie się do cudzych komputerów). Jego autorem jest student ukrywający się pod adresem kwikwi@kki.net.pl. Trojan składa się z dwóch części: serwera PROSIAK.EXE (238 592b w wersji 0.47, 237 056b w wersji 1/2) oraz klienta PRO_CLI.EXE (211 456b w v. 0.47, 258 048b w v. 1/2). Serwer instaluje się na porcie 33333 (v. 0.47) lub 44444 (v. 1/2). Działa na systemach: Windows 95 i 98. UWAGA ! Jako że Prosiak jest polskim koniem trojańskim, nie jest jeszcze (kwiecień ’99) wykrywany przez programy antywirusowe. Usunąć można go jedynie manualnie. W przeciwieństwie do wcześniejszych koni trojańskich, które powielały pomysły, Prosiak ma kilka innowacji. Dostępne w wersji 0.47 funkcje to:
Řzamknięcie, odinstalowanie, zmiana nazwy serwera
Řzmiana nazwy sieciowej komputera
Řzmiana nazwy, chowanie, pokazywanie, minimalizowanie, maksymalizowanie okien oraz „okien-dzieci” (czyli np. menu aplikacji)
Řefekty wizualne: skurczenie, wstrząsanie, migotanie, zamiana kolorów na negatyw, dziurkowanie okien
Řpodstawowe operacje na plikach (kopiowanie, usuwanie, uruchamianie, tworzenie katalogów, ściąganie, przesyłanie na serwer)
Řpodstawowe informacje o serwerze (nazwa domeny, IP, ścieżki systemowe)
Řczytanie, usuwanie, przesyłanie tekstu do schowka
Řuruchamianie na serwerze strony internetowej
Řuruchamianie na serwerze domyślnego programu pocztowego z zadanym adresem emailowym i tematem listu
Řuruchamianie komend DOS-a
Řwłączenie wygaszacza ekranu, trybu oszczędzania energii, zmiana kolorów w Windowsie na negatyw (również czasowa)
Řschowanie/ pokazanie przycisku START, paska zadań (TASKBAR), Pulpitu
Řzamiana klawiszy myszki
Řwyświetlenie okienka dialogowego/ wodzenie za kursorem myszki komunikatu
Řwylogowanie, zresetowanie, zamknięcie systemu
Řpokazanie na ekranie serwera obrazka
Řodtworzenie na serwerze pliku muzycznego
Řzrzut ekranu z serwera (niestety bardzo wolny)
Řefekty wizualne na ekranie: „skaczące pixelki”, „inwazja mrówek”, „rozmycie”, „znikające kolory”
W wersji 1/2 dodano:
Řdokładniejsze informacje o systemie (czas pracy, rozdzielczość, pamięć fizyczna, długość pinga
Řskaner sieci (wykrywanie Prosiaka na innych komputerach podłączonych do sieci)
Řopcję zawieszenia komputera
Řmożliwość uruchamiania i edycji skryptów
Řzmiana hasła (domyślnie: prosiak)
Řwystartowanie serwera proxy (przekierunkowanie aplikacji znane z BO czy NetBusa)
Řwystartowanie serwera httpd
Řkonsola wykonywanych przez serwer poleceń
USUNIĘCIE Z SYSTEMU:
·Prosiak nie jest wykrywany przez programy antywirusowe
·Nie ma także na razie aplikacji wykrywających jego działanie
·Wykrycie Prosiaka jest łatwiejsze niż NetBusa, mimo iż jego serwer również może przyjąć każdą nazwę. W przeciwieństwie do NetBusa, Prosiak nie zmienia nazwę wpisu w rejestrze (Microsoft DLL Loader), a pozostawia go w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices. Domyślnie wpis ma wartość: windll32.exe (w wersji 0.47) lub vbrun60.exe (w wersji 1/2). Ponadto w wersji 1/2 Prosiak tworzy klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRconfig. Usuwając wpis, resetując komputer i kasując serwer znajdujący się w katalogu C:WINDOWSSYSTEM pozbędziemy się go na dobre.
6.SOCKETS DE TROIE
Jest to drugi (po Prosiaku) program „narodowy” stworzony w języku innym niż angielski. Powstał w ojczyźnie Napoleona, w październiku 1998 roku. Napisany w języku Delphi 3, ma rozbudowany (około 443 kB) rdzeń. Ciekawostką jest to, iż dystrybucja tego konia trojańskiego obejmuje: aplikacje klient-serwer, dokumentację oraz kod źródłowy (w przeciwieństwie do innych, „komercyjnych” aplikacji). Istnieją znane 2 rodzaje instalacji serwera:
1.Uruchomiony serwer podaje komunikat o brakującej bibliotece (SETUP32.DLL) instalując się do katalogu systemowego Windows (jako plik MSCHV32.EXE) i modyfikując zarazem Rejestr Systemowy, aby uruchamiać się z każdą sesją systemu (pierwszy klucz: HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunLoad oraz wpis: „MSchv32 Drv = C:WINDOWSSYSTEMMSchv32.exe”, drugi klucz: HKEY_CLASSES_ROOTDirectSockets oraz wpis:
„DirectSocketsCtrl = $A4 D5 #FFF”).
2.Uruchomiony serwer podaje komunikat o brakującej bibliotece (ISAPI32.DLL) instalując się trzykrotnie: raz do katalogu Windows (c:windows
srcload.exe), 2 razy do katalogu systemowego (c:windowssystemmgadeskdll.exe,
c:windowssystemcsmctrl32.exe) i modyfikując zarazem Rejestr Systemowy: pierwszy klucz: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunLoad oraz wpis: Mgadeskdll = C:WINDOWSSYSTEMMgadeskdll.exe
drugi klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLoad oraz wpis: Rsrcload = C:WINDOWSRsrcload.exe
trzeci klucz: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesLoad oraz wpis: Csmctrl32 = C:WINDOWSSYSTEMCsmctrl32.exe
USUNIĘCIE Z SYSTEMU:
·Sockets de Troie nie jest wykrywany przez programy antywirusowe
·Usuwa go Anti-Sockets de Troie
·SdT usunąć można również manualnie – kasując podane wyżej klucze w Rejestrze Systemowym. Wcześniej należy zapamiętać ścieżki i nazwy plików, które po ponownym uruchomieniu Windows trzeba usunąć z systemu. Od tej chwili system jest bezpieczny.
7.WinCrash 1.03
Kolejny program z dziedziny aplikacji klient-serwer. Stworzony został przez bliżej nieznany duet programistów: M@niac_Teen & Terminal Crasher. Konfiguracja serwera [domyślnie Server.exe (296 448b), charakterystyczna ikonka Windows – falujące czterokolorowe okienko] na komputerze ofiary odbywa się automatycznie, a sam program nie jest widzialny na pasku zadań czy też liście aktywnych procesów (uruchamianej kombinacją klawiszy: CTRL+ALT+DEL). Włamywacz może również dowolnie zmieniać nazwę pliku serwera. Dostępne funkcje:
Řotwieranie, zamykanie CD-ROM-u
Řzapalanie, wygaszanie diod na klawiaturze (CAPS_LOCK i SCROLL_LOCK)
Řzablokowanie, odblokowanie, zdalne sterowanie kursorem myszy
Řwyłączenie, włączenie monitora
Ř„zapchanie” drukarki sieciowej
Řzablokowanie klawiszy systemowych (np. CAPS_LOCK, SCROLL_LOCK)
Řwyłączenie schowka
Řwłączanie, wyłączanie wygaszacza ekranu
Řukrycie lub wyłącznie: paska zadań, przycisku START
Řusunięcie, zmiana tapety
Řzmiana czasu i daty systemowej
Řzamknięcie, odinstalowanie serwera
Řzamknięcie uruchomionych programów
Řzamknięcie, zawieszenie, zresetowanie Windows
Řwyświetlenie okienka dialogowego (CHAT) lub tekstu
Řpobranie informacji o systemie
Řzdobycie haseł systemowych
Řwyświetlenie listy aktywnych procesów
Řuruchomienie dostępu do dysku twardego ofiary poprzez FTP
Řodtworzenie pliku dźwiękowego (format WAV)
Řwykonywanie podstawowych operacji dyskowych na komputerze ofiary
Řmodyfikacja pliku autoexec.bat
Řuruchamianie aplikacji na serwerze
USUNIĘCIE Z SYSTEMU:
·WinCrash jest wykrywany przez markowe programy antywirusowe
·Nie ma na razie aplikacji wykrywających jego działanie.
·Można go usunąć manualnie: WinCrash instaluje się do katalogu systemowego (może ukrywać się pod różnymi nazwami) i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „MsManager” = „nazwa pliku serwera”. Usuwając ten wpis, resetując komputer i kasując znany plik zabezpieczamy się przed zgubnym działaniem trojana.
8.Web EX 1.2
Aplikacja składa się z następujących plików: klienta Web Ex.exe (96 768b) i serwera Task_bar.exe (115 200b). Ponadto do uruchomienia potrzebne są następujące pliki:
MSVBVM50.dll
MSWINSCK.ocx
MSINET.ocx
które nie są domyślnymi plikami systemowymi. Włamywacz będzie musiał się więc zatroszczyć o to, aby wraz z serwerem umieścić je na komputerze ofiary. Ponadto do programu dołączany jest komponent o nazwie Antidote.exe, który służy do trwałego usunięcia serwera z systemu. Web EX nie jest więc programem przeznaczonym dla „profesjonalnych włamywaczy”, ale raczej eksperymentalnym projektem jego twórcy (o nicku: pc). GUI programu jest łudząco podobne do wcześniejszych wersji NetBusa. Sam program oferuje też niewiele funkcji (głównie mających za zadanie zwrócić uwagę użytkownika na to, że coś nie tak jest z jego systemem). Najciekawszym pomysłem jest zintegrowanie trojana ze stroną internetową jego twórcy – oferuje ona stały serwis podając listę dostępnych w sieci zarażonych komputerów:
Řwyświetlenie okna dialogowego z komunikatem na serwerze
Řuruchamianie strony internetowej na serwerze
Řuruchamianie dowolnej aplikacji
Řotwieranie, zamykanie CD-ROM-u
Řwyświetlenie listy aktywnych aplikacji
Řzapełnienie ekranu ofiary tekstem
Řrysowanie okręgów wokół kursora myszy
Řzresetowanie komputera ofiary
Řzamiana przycisków myszy
Řwyświetlenie informacji o systemie ofiary
Řpowiadamianie wszystkich chętnych na stronie internetowej autora (http://www.cates.mcmail.com/webex) o obecności w Internecie każdego użytkownika z zainstalowanym koniem trojańskim (sic!)
Řpowiadamianie włamywacza poprzez email o obecności w Internecie ofiary
Ř„Podsłuchiwanie” ofiary – przesyłanie ciągu wystukiwanych na serwerze znaków
Řwyświetlenie listy adresów IP zarażonych komputerów tworzonej na stronie internetowej autora konia trojańskiego
USUNIĘCIE Z SYSTEMU:
·Web EX nie jest wykrywany przez programy antywirusowe
·Nie ma także na razie aplikacji wykrywających jego działanie.
·Można usunąć go manualnie: WE pozostawia po sobie wpis „RunDl32” = „C:windowssystemask_bar” (serwer przyjmuje stałą nazwę pliku) w Rejestrze Systemowym w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. Standardowa procedura to: usunięcie wpisu, zresetowanie komputera i skasowanie pliku: C:WINDOWSSYSTEMTASK_BAR.EXE.
9.EXECUTER 1
Executer to prosta aplikacja klient-serwer. Napisana została przez mało komu znanego człowieka o nicku Lavar. Podobnie jak jej poprzedniczki, składa się z 2 części: serwera [domyślnie: Exec.exe (249 334b)] oraz wyglądającego nietypowo (podobnie jak BO) klienta [domyślnie: Controller.exe (340 992b)]. Dużo trudności użytkownikowi sprawić może wykrycie serwera, który przydziela sobie wolne porty, zmieniając ich wartość za każdym połączeniem W równie nietypowy sposób odbywa się sterowanie aplikacją – opcje wybiera się przemieszczając je z okienka komend (gdzie wyszczególniono wszystkie) do okienka komend przeznaczonych do uruchomienia (uruchomić można jedną lub kilka komend na raz ustalając odstęp czasu. Możliwe jest również „zapętlenie” wykonywanych komend). Na szczęście trojan ma rzucającą się w oczy ikonę: żółto-czerwony napis: „SeEK”. EXECUTER to koń trojański mający głównie na celu utrudnić życie ofiary – stąd wiele funkcji destrukcyjnych:
Ř//DestroyDblClick – wyłączenie podwójnego kliknięcia
Ř//DestroyDesktopColors – zmiana kolorów systemowych na żółty
Ř//DestroyDesktopColors2 – zmiana kolorów systemowych na czarny
Ř//DestroyDesktopColors3 – zmiana kolorów systemowych na niebieski
Ř//DestroyDesktopColors4 - zmiana kolorów systemowych na czerwony
Ř//Disconnect – wyłączenie aplikacji serwera
Ř//DestroyCtrlAltDel – wyłączenie kombinacji klawiszy: CTRL+ALT+DEL
Ř//DestroyCursorPos – ustawienie kursora myszy w pozycji 0,0
Ř//DestroyTrayWnd – ukrycie paska zadań
Ř//DestroyWindows – zresetowanie komputera ofiary
Ř//RestoreDblClick – włączenie podwójnego kliknięcia
Ř//RestoreCtrlAltDel – włączenie kombinacji klawiszy: CTRL+ALT+DEL
Ř//RestoreTrayWnd – przywrócenie paska zadań
Ř//CopyProgramToWindowsDir –skopiowanie serwera do katalogu C:Windows
Ř//AddProgramToStartup – dodanie serwera do Autostartu
Ř//DeleteLogo.Sys – skasowanie C:Logo.sys
Ř//DeleteWin.Com – skasowanie C:WindowsWin.com
Ř//DeleteIo.Sys – skasowanie C:IO.sys
Ř//DeleteSystem.Ini – skasowanie C:WindowsSystem.ini
Ř//DeleteWin.Ini – skasowanie C:WindowsWin.ini
Ř//DeleteConfig.Sys – skasowanie C:Config.sys
Ř//DeleteAutoexec.Bat – skasowanie C:Autoexec.bat
Ř//DeleteCommand.Com – skasowanie C:Command.com
Ř//DeleteRegedit.Exe – skasowanie Regedit.exe
Ř//DeleteTaskman.Exe – skasowanie Taskman.exe
Ř//EnableScreenPaint – włączenie wyświetlania na ekranie ciągu: ('DIE!!! DIE!!! DIE!!!')
Ř//DisableScreenPaint - wyłączenie wyświetlania na ekranie ciągu: ('DIE!!! DIE!!! DIE!!!')
Ř//EnableBeeping - włączenie generowania dźwięków na PC Speakerze
Ř//DisableBeeping - wyłączenie generowania dźwięków na PC Speakerze
W rzeczywistości jest to program bardzo powolny i nieudolny – nie został wyposażony w opcję samodzielnej instalacji na komputerze ofiary. Włamywacz musi dokonać tego manualnie: skopiować serwer na komputer ofiary i dodać go do Autostartu (ułatwieniem dla niego obecność takich funkcji w trojanie), dokonać tego może dopiero po uruchomieniu na komputerze ofiary serwera.
USUNIĘCIE Z SYSTEMU:
·Executer nie jest wykrywany przez programy antywirusowe
·Nie ma także na razie aplikacji wykrywających jego działanie
·Można go usunąć manualnie: koń trojański instaluje się do katalogu Windows jako: Sexec.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „ EXECUTOR 1” = „C:WindowsSExec.exe”. Usuwając ten wpis, resetując komputer i kasując znany plik usuwamy go na trwałe z systemu.
10.GirlFriend 1.3
Stworzony przez General Failure, koń trojański składa się z dwóch nieodłącznych składników: serwera [nazwanego przez twórców GirlFriend, domyślnie: Windll.exe (331 264b)] oraz klienta [BoyFriend: gf.exe (425 984b)]. Jego funkcje nie są rozbudowane, a on sam służy głównie do wykradania haseł systemowych i wyświetlania komunikatów. Oprócz zdobywania, hasła może wykasować – pod tym względem jest niebezpieczny (zwłaszcza jeśli ofiara ma hasła dostępu do Internetu inne niż „ppp” lub nie pamięta haseł pocztowych w MS OUTLOOK). Ciekawostką jest również kopiowanie odkrytych w systemie haseł do Rejestru Systemowego do klucza: „HKEY_LOCAL_MACHINESoftwareMicrosoftGeneral”. Program oznacza zdobyte hasła lub pola tekstowe we wpisach kolejnymi liczbami, np.: „1”=”Połączenie Dial-up___ppp”.
Ř„Show Passes” – wyświetla listę haseł dostępnych na komputerze ofiary (np. hasła dostępu do Internetu) oraz wszelkich aktywnych pól tekstowych (w tym również zakodowanych ciągiem gwiazdek: *******)
Ř„Send Message” – wyświetlenie na ekranie ofiary okienka dialogowego. Możliwe jest wybranie jednego spośród pięciu rodzajów komunikatów: ostrzeżenia, informacji, błędu, zapytania, zwykłego oraz przetestowanie komunikatu na komputerze włamywacza
Ř„Reset Password List” – kasuje wszystkie hasła systemowe na serwerze
Ř„Custom” – wysłanie jednej z komend do serwera:
§TEST? - wysyła do serwera pytanie: „Are you alive?”. Jeśli serwer działa odpowie: „Server is alive!”
§ver – wyświetla wersję serwera
§KillHER – „zabija” serwer (usuwa serwer z rejestru, ale nie kasuje pliku windll.exe)
§{U} - uruchamia na serwerze zadaną stronę internetową (adres zaczyna się od: „http://”)
§{S} - odgrywa plik dźwiękowy (format WAV)
§{P} - wyświetla plik graficzny (format BMP)
§DOWN – wyłącza szukanie haseł na serwerze
§UP – włącza szukanie haseł na serwerze
§setport - ustawia nowy port
USUNIĘCIE Z SYSTEMU:
·GirlFriend jest wykrywany przez markowe programy antywirusowe
·Nie ma na razie aplikacji wykrywających jego działanie
·Można go usunąć manualnie: koń trojański instaluje się do katalogu Windows jako: Windll.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „Windll.exe” = „C:WindowsWindll.exe”. Usuwając ten wpis, resetując komputer i kasując znany plik usuwamy go na trwałe z systemu.
11.MILLENIUM 1.0
Millenium to milenijny prezent od programisty o nicku DaTa-SuRgE. Tradycyjnie program składa się z dwóch części: niezwykle małego serwera [o wiele mówiącej nazwie SPY: domyślnie plik nazywa się server.exe (48 128b)] oraz klienta [client.exe (164 352b)]. Cechą charakterystyczną serwera jest nietypowa ikona (szara dyskietka z czarno-zieloną etykietą). Dostępne funkcje to:
ŘZresetowanie, wylogowanie, zamknięcie, uruchomienie w trybie MS-DOS, odłączenie od sieci komputera ofiary
ŘZamknięcie, uruchomienie, usunięcie serwera
ŘOtwarcie, zamknięcie CD-ROM-u
ŘWłączenie, wyłączenie kombinacji: Ctrl+Alt+Del, Caps Lock, Number Lock
ŘPrzejęcie kontroli nad myszką i kursorem ofiary
ŘPodstawowe operacje dyskowe
ŘPrzekierunkowanie danych
USUNIĘCIE Z SYSTEMU:
·Millenium nie jest wykrywany przez markowe programy antywirusowe
·Wykrywany jest przez program Millenium Remove
·Można go usunąć manualnie: koń trojański instaluje się do katalogu systemowego Windows jako: reg66.exe i zostawia w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis: „Millenium” = „C:windowssystem
eg66.exe”. Jest również jedynym koniem trojańskim, który pozostawia wpis w pliku C:WINDOWSwin.ini w sekcji [windows]: „run=C:windowssystem
eg66.exe”. Usuwając te dwa wpisy, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
12.NetSpy
NetSpy to jedno z najbardziej przebiegłych narzędzi. Jego twórcą jest firma sXi Software. Jest idealnym przykładem konia trojańskiego: wersja dystrybucyjna składa się z aplikacji będącej niczym innym jak programem instalacyjnym o bezpiecznie brzmiącej nazwie SysProtect 98. Niestety zamiast programu instaluje się nam w katalogu C:PROGRAM FILESSYSPROTECT nic poza ... programem deinstalującym aplikację. Tymczasem na naszym dysku pojawia się serwer konia trojańskiego [w katalogu C:WINDOWSSYSTEM jako plik system.exe (312 320b) z ikoną przedstawiającą czterokolorowe okienko Windows z napisem Microsoft Windows. Nic bardziej złudnego...]. Do komunikacji z serwerem służy klient o nazwie: SP_CLIENT.EXE (388 608b). Całość współpracuje z Windowsem 95, 98 i NT. Dostępne funkcje:
Řapps – pokazuje listę aktywnych aplikacji
Řcd - zmienia katalog
Řclosedown – zamyka system
Řdir – lista plików i podkatalogów
Řgetdir – wyświetla obecny katalog
Řhelp – podaje wszystkie komendy
Řlogin – loguje się do serwera i podaje informacje o jego nazwie, czasie, katalogu Windows
Řlogout – wylogowuje się z serwera
Řmsg | - wyświetla okienko dialogowe
Řnostart – chowa przycisk START
Řnotask – chowa pasek zadań
Řshutdown – resetuje Windows
Řsleep – zwalnia działanie serwera na 10 sekund
Řstart – pokazuje przycisk START
Řtask – pokazuje pasek zadań
Řtype wyświetla zawartość pliku tekstowego
Řsysinfo – wyświetla informacje o systemie ofiary
Řwin uruchamia komendę DOSową / WINDOWSową
USUNIĘCIE Z SYSTEMU:
·NetSpy nie jest wykrywany przez programy antywirusowe
·Nie ma na razie aplikacji wykrywających jego działanie
·Należy wystrzegać się programu instalacyjnego o nazwie SysProtect 98
·Usunięcie manualne: NetSpy instaluje się jako C:WINDOWSSYSTEMsystem.exe. pozostawia też po sobie wpis „SysProtect”=” C:WINDOWSSYSTEMSYSTEM.EXE” w kluczach: HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun Usuwając wpisy, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
13.SK Silencer 1.01
Silencer to najnowszy produkt ze stajni The SmithKlan. Jest jednym z najmniejszych koni trojańskich mających własnego klienta. Nazwą domyślną serwera jest server.exe (34 304b), ale można ją zmieniać. Ma on charakterystyczną ikonę – czerwony trójkąt równoboczny z białym wykrzyknikiem wewnątrz. Klient jest dwa razy większy (78 336b) i ma „radioaktywną” ikonę. Program nie jest zbytnio rozbudowany. Jest to również jedyny backdoor ze standardowym GUI – wyglądającym jak większość aplikacji windowsowych. Współpracuje z Windowsem 95 i 98. Dysponuje jedynie kilkoma standardowymi funkcjami, jednak na uwagę zasługuje opcja wykradająca hasła ICQ.
ŘChat – uruchamia CHATA między serwerem a komputerem włamywacza
ŘSend KeyStrokes – wysyła kombinację klawiszy
ŘICQPassJack – zdobywa hasła ICQ
ŘRun Application – uruchamia aplikację na serwerze
ŘSend Msg – wyświetla na serwerze okno dialogowe z dowolną informacją
ŘHide Taskbar – ukrywa pasek zadań
ŘDisable Ctrl-Alt-Del – wyłącza kombinację Ctrl-Alt-Del
ŘPing Pong Virus – pokazuje na serwerze piłeczkę pingpongową odbijającą się od krawędzi ekranu
ŘReboot – resetuje komputer ofiary
ŘRun Screensaver – włącza wygaszacz ekranu
ŘShow Shutdown Menu – uruchamia procedurę zamknięcia systemu
USUNIĘCIE Z SYSTEMU:
·SK Silencer jest wykrywany przez markowe programy antywirusowe
·Nie ma na razie aplikacji wykrywających jego działanie
·Usunięcie manualne: SK Silencer nie ma opcji pozwalającej na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedy standardowa procedura, wszystko zależy od jego inwencji). Należy się wystrzegać plików z ikoną i rozmiarem, jak opisane wyżej. Po odkryciu na swoim dysku opisanego serwera należy uruchomić program regedit.exe i znaleźć wpis będący ścieżką do serwera, usunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.
14.StealthSpy
W przeciwieństwie do większości koni trojańskich StealthSpy nie jest anonimowy. Jego twórcą jest człowiek o miłym dla słowiańskiego ucha nazwisku – Andrei Birjukov. I chociaż programy rosyjskich twórców należą do czołówki najlepszych, to jednak ten pozostawia trochę do życzenia (chociaż sam autor zastrzega, że jest to dopiero wersja BETA 3). Rzeczywiście, niżej podpisany zdobył wersję roboczą, w której istnieje wiele „białych plam”, a użycie niektórych opcji kończy wykonywanie programu poprzez jego wyłączenie. Nieobce są również komentarze odautorskie pokazywane przez aplikację zamiast oczekiwanych funkcji. Mimo tych niedociągnięć należy spodziewać się kolejnego, ale na szczęście niezbyt groźnego, konia trojańskiego. W wersji BETA 3 składa się on z następujących plików: serwera o nazwie telserv.exe (235 520b), biblioteki tserv.dll, pliku wsadowego doscmd.bat odpowiedzialnego za wykonywanie komend dosowych, klienta telman.exe (137 216b), który wymaga biblioteki MSVBVM50.DLL oraz pliku MSWINSCK.OCX. Koń trojański ma następujące (ubogie) funkcje:
Řscreenshot (zrzut ekranu)
Řmenedżer plików (kopiowanie plików na i z serwera)
Řuruchamianie komend dosowych
Řzamykanie aplikacji
Řwyświetlanie na serwerze okienka dialogowego
Řzresetowanie komputera ofiary
USUNIĘCIE Z SYSTEMU:
·StealthSpy nie jest wykrywany przez programy antywirusowe
·Nie ma na razie także aplikacji wykrywających jego działanie
·Usunięcie manualne: StealthSpy nie ma opcji pozwalającej na zainstalowanie się do Rejestru Systemowego. Włamywacz musi więc dokonać tego ręcznie (nie istnieje wtedy standardowa procedura, wszystko zależy od jego inwencji). Jest to jedyny koń trojański, którego serwer jest widoczny po wciśnięciu kombinacji klawiszy: CTRL+ALT+DEL (rysunek). Po odkryciu na swoim dysku opisanego serwera należy uruchomić program regedit.exe i znaleźć wpis (jeśli wpis istnieje) będący ścieżką do serwera, usunąć go, zresetować komputer i wykasować z dysku konia trojańskiego.
15.Telecommando v1.5.4
Napisany przez osobę o nicku Night Navigator koń trojański jest bardzo dziwnym, ale nie można powiedzieć, że oryginalnym, programem. Po pierwsze: aby wykonać dowolną funkcję, należy wziąć na siebie całą odpowiedzialność za jej działanie – stąd idące w nieskończoność akceptowanie komunikatu : „I Agree”. Po drugie: program wyłącza kombinację klawiszy: Ctrl+Esc i Alt+Ctrl+Del. Trzecim „pomysłem” autora jest zablokowanie komend przed połączeniem się z serwerem, z którym [domyślnie nazywa się teleserv.exe (211 456b), ale może przyjmować dowolną nazwę] można się komunikować na dwa sposoby: albo wypisując komendy, albo wybierając je z listy, podając przy tym niezbędne parametry:
ŘDialog Boxes – wyświetla okno dialogowe z tekstem
ŘGet Logical Drives – wyświetla listę dysków logicznych
ŘHide/Show the Start Button – chowa, pokazuje przycisk START
ŘHide/Show the Taskbar – chowa, pokazuje pasek zadań
ŘHide/Show Desktop – chowa, pokazuje pulpit
ŘShutdown Server – usuwa serwer w danej sesji Windows
ŘUninstall Server – odinstalowuje serwer
ŘPassword Status – powiadamia o zmianie haseł przez ofiarę podczas sesji serwera
ŘPassword Change – zmienia hasło
ŘPassword Delete – usuwa hasło
ŘExecute Normal – uruchamia program jako widoczny dla ofiary
ŘExecute Minimized – uruchamia program jako zminimalizowany
ŘExecute Maximized - uruchamia program jako zmaksymalizowany
ŘExecute Hidden – uruchamia program jako niewidoczny dla ofiary
ŘList 32bit Process – wyświetla listę 32-bitowych aplikacji
ŘKill 32bit Process – zabija 32-bitowy proces
ŘGet Users Name – wyświetla nazwę użytkownika
ŘGet Computers Name – wyświetla nazwę serwera
ŘGet Users Date & Time – wyświetla datę i czas z serwera
ŘLogoff User – wylogowuje ofiarę
ŘReboot User – resetuje komputer ofiary
ŘShutdown User – zamyka komputer ofiary
ŘChange Dir – zmienia katalog na podany w linii komend
ŘMake Dir – tworzy katalog
ŘRemove Dir – kasuje katalog
ŘDelete File – kasuje plik
ŘList Files – wyświetla listę plików w katalogu
ŘGet Current Directory – wyświetla nazwę obecnego katalogu
ŘMisc – dzieli ekran na części, które później miesza ze sobą
ŘStar On/Off – podobne do gwiezdnego wygaszacza
USUNIĘCIE Z SYSTEMU:
·Telecommando nie jest wykrywany przez programy antywirusowe
·Nie ma na razie aplikacji wykrywających jego działanie
·Usunięcie manualne: Telecommando instaluje się jako C:WINDOWSSYSTEMODBC.EXE. Pozostawia też po sobie wpis „SystemApp”=” ODBC.EXE” w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
16.GateCrasher 1.1
GC jest narzędziem napisanym w całości w języku Visual Basic. Znani są dwaj twórcy trojana, którzy ukrywają się pod pseudonimami: KillBoy i ExCon. Jest też jedynym koniem trojańskim, który może infekować komputer ofiary na dwa sposoby: klasycznie jako aplikacja lub dostarczany jest jako dokument MS Word (w wersji 97) z makrem. Będąc podłączonym do Internetu lub pracując w sieci lokalnej użytkownik jest narażony na kontakt z aplikacją, która przejmuje kontrolę nad takimi platformami, jak: Windows 95, 98 i NT. Zarażony dokument można o trzymać na wiele sposobów. Może być: dołączany do listu email, powszechny na IRC i w CHAT ROOMach, wykorzystywać „dziury” w popularnych przeglądarkach internetowych. Domyślnie instaluje się na porcie 6969, ale może korzystać z każdego innego.
W skład programu wchodzą następujące pliki:
TCP.exe – plik wspomagający TCP/IP (nic nie robi)
Port.dat – plik z danymi serwera, może przybrać nazwę Port.exe lub Port.doc w zależności od sposobu instalacji na komputerze ofiary
GC.exe – klient
Cleaner.exe – program usuwający serwer z systemu
MsWinsck.ocx – kontrolka Winsock ActiveX używana do komunikacji przez protokół TCP/IP pomiędzy serwerem a klientem
MSVBVM60.DLL – biblioteka Visual Basic 6.0 Enterprise
Inet.drv – Agent wykrywający połączenie - otwiera serwer
Dostępne opcje:
ŘClear Recent Folder – kasuje folder RECENT (z ostatnio uruchomionymi dokumentami)
ŘClose CD – zamyka CD-ROM
ŘClose The Server – zamyka serwer
ŘClose Windows – zamyka sesję Windows
ŘCrazy Mouse Start– przejmuje kontrolę nad myszką użytkownika
ŘCrazy Mouse Stop – przywraca kontrolę nad myszką użytkownika
ŘDelete Directory – kasuje katalog
ŘDelete File – kasuje plik
ŘFill Drive – zapełnia dysk tworząc na nim pliki
ŘFormat Drive – formatuje dysk
ŘGet Active Windows – wyświetla listę aktywnych aplikacji
ŘGet Computer Name – wyświetla nazwę komputera ofiary
ŘGet Disk Serial # - wyświetla informację o numerze seryjnym dysku twardego ofiary
ŘGet Free Space – wyświetla informację o ilości wolnego miejsca na dysku
ŘGet HD Letter - wyświetla literę dysku lokalnego
ŘGet ICQ UIN – wyświetla numer ICQ
ŘGet Local Time – wyświetla obecny czas na serwerze
ŘGet Organization – wyświetla informację o organizacji właściciela Windows
ŘGet OS - wyświetla informację o wersji Windows
ŘGet Owner – wyświetla informację o właścicielu Windows
ŘGet Server Path - wyświetla ścieżkę gdzie znajduje się serwer
ŘGet System Directory - wyświetla nazwę katalogu systemowego
ŘGet Temp Directory - wyświetla nazwę katalogu tymczasowego
ŘGet User - wyświetla nazwę aktualnego użytkownika
ŘGet Windows Directory – wyświetla nazwę katalogu Windows
ŘHide Mouse – ukrywa kursor myszki
ŘHide Task Bar – ukrywa pasek zadań
ŘKill Window – zamyka aplikację
ŘList File in Directory – wyświetla listę plików w katalogu
ŘLog Off – wylogowuje ofiarę
ŘMake Directory – tworzy katalog na serwerze
ŘOpen CD – otwiera CD-ROM
ŘOpen Control Panel – otwiera Panel Sterowania
ŘOpen Date/Time – otwiera Właściwości Daty/Godziny
ŘOpen FTP Server – otwiera na porcie 6970 serwer FTP, daje włamywaczowi możliwość: wyświetlania zawartości katalogu, odczytywania, zapisywania, kasowania plików, tworzenia, kasowania katalogów.
ŘOpen Webbrowser – uruchamia stronę internetową w domyślnej przeglądarce
ŘPING! – wysyła pakiet danych na serwer
ŘRead from Drive A: - odczytuje stację dysków na serwerze
ŘReboot Computer – resetuje komputer
ŘSearch For File – szuka pliku na komputerze ofiary
ŘSend Message – wysyła komunikat
ŘSend Text – wysyła tekst do aktywnego na serwerze okienka tekstowego
ŘSet Computer Name – zmienia nazwę komputera użytkownika
ŘSet VolumeLabel For C – ustawia etykietę dysku C:
ŘShow Mouse – pokazuje kursor myszki
ŘShow Task Bar – pokazuje pasek zadań
ŘShutDown – resetuje komputer
ŘStart Program – uruchamia program na komputerze ofiary
ŘStart Screen Saver – uruchamia wygaszacz ekranu
ŘSwitch Window – zmienia dane okno na aktywne
USUNIĘCIE Z SYSTEMU:
·GateCrasher nie jest wykrywany przez programy antywirusowe
·Aplikacją wykrywającą jego działanie jest BOClean 2.01 oraz GateCleaner
·Usunięcie manualne: GateCrasher instaluje się jako C:WINDOWSEXPLORE.EXE. Pozostawia też po sobie wpis „Explore”=” EXPLORE.EXE” w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
17.phAse zero 1.0
Twórcą phAse’a jest Njord z grupy Kr0me Corp. Podobnie jak większość koni trojańskich, tak i ten jest przeznaczony na platformy 32-bitowe (a więc będzie działał zarówno pod Windowsem 98, jak i 98 oraz NT). Trojan ma kilka przydatnych włamywaczowi funkcji, np. ma wbudowanego klienta FTP (przeznaczonego do wykonywania operacji dyskowych na komputerze ofiary), możliwość dokonywania zmian w Rejestrze Systemowym ofiary, tzw. IP maskę, czyli dopuszczanie do połączenia się z serwerem osób mających mniej lub bardziej ściśle określony adres IP (np. zawężając kolejno od najmniej określonego: 128.1, 128.12, 128.12.1, 128.12.13, 128.12.13.1), możliwość konfiguracji: wpisu w rejestrze, nazwy pliku i portu serwera poprzez program instalacyjny. Dużym utrudnieniem w manualnym wykryciu zainstalowanego do systemu konia trojańskiego jest jego zmienna wielkość. Domyślnie instaluje się on na porcie 555. Dostępne funkcje:
Řftp upload – zgrywa pliki na komputer ofiary
Řftp download – ściąga pliki z komputera ofiary
Řexecute – uruchamia aplikację na serwerze (widoczną lub nie dla użytkownika)
Řchange directory – zmienia katalog
Řlist directory – wyświetla listę katalogów
Řcreate directory – tworzy katalog
Řremove directory – usuwa , zmienia nazwę katalogu
Řshow current dir
Řcopy file – kopiuje plik
Řmove file – przenosi plik
Řrename file – zmienia nazwę pliku
Řdelete file – kasuje plik
Řtype file – wyświetla zawartość pliku tekstowego
Řhex type file – wyświetla zawartość pliku binarnego
Řshow dialog box – pokazuje okienko dialogowe z tekstem na serwerze
Řlockup server – blokuje serwer
Řreg create key – tworzy klucz w rejestrze systemowym
Řreg delete key – kasuje klucz w rejestrze systemowym
Řreg delete value – kasuje wpis w rejestrze
Řreg check key – sprawdza istnienie klucza lub wpisu
Řreg set current key – ustawia dany klucz jako otwarty
Řreg read key value – odczytuje dany wpis w kluczu
Řreg write key value – tworzy wpis w kluczu
Řreg list keys – wypisuje dostępne podklucze w otwartym kluczu
Řreg list values – wypisuje dostępne wpisy w otwartym kluczu
Řterminate session – kończy sesję serwera
Řunload server – kończy sesję serwera i odinstalowuje serwer
USUNIĘCIE Z SYSTEMU:
·phAse zero jest wykrywany przez markowe programy antywirusowe
·Nie ma na razie aplikacji wykrywających jego działanie.
·Usunięcie manualne: phAse zero instaluje się jako C:WINDOWSEXPLORE.EXE. Pozostawia też po sobie wpis w kluczu: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Usuwając wpis, resetując komputer i kasując plik usuwamy go na trwałe z systemu.
NAJCZĘŚCIEJ UŻYWANE PRZEZ KONIE TROJAŃSKIE PORTY:
Ř31 –...


Widzisz tylko część pracy, aby zobaczyć całość, musisz się zalogować.

Nie masz jeszcze u Nas konta? Na co czekasz? ZAREJESTRUJ SIĘ JUŻ TERAZ

Zapomniałeś hasła? Skorzystaj z formularza przypominającego hasło.


Czytano: 4516 , autor: ew.la , Ocena: 12.29

      Blip Śledzik Twitter Facebook Buzz Wykop

Inne podobne teksty do tytułu Konie trojanskie

Brak podobnych prac w bazie danych.

Losowe teksty z tej samej kategorii

Komputery i teksty
Problem "y2k"
HeapSort - sortowanie przez kopcowanie
Co to jest Internet? (2)
Kamienie Milowe Technologii Informacyjnej (1)
Drukarki (2)
Budowa dysku twardego (1)
program animacja 1
Turbo Pascal- instrukcja warunkowa "case"
Co to jest WWW?


Wasze komentarze

Brak komentarzy dla danej pracy.




Zmień kategorię:

Zobacz także:

Przedmioty ścisłe
Chemia Chemia
Fizyka Fizyka
Informatyka Informatyka
Matematyka Matematyka

A A A A - zmień wielkość czcionki


Oceń pracę:

Ocena pracy wynosi 12.29.

Informacje o pracy:

⇒Dodano: 2008-02-11 10:10:31
⇒Czytano: 4516
Autor: ew.la


Dodatkowe opcje:

Drukuj stronę
ZGŁOŚ NARUSZENIE
Wyślij znajomemu
Dodaj do ULUBIONYCH



Dodaj komentarz:

Tytuł:

Treść: