Trojany często są tak spreparowane, żeby udawały zwykły program – np. setup popularnego Winampa. Wystarczy, że go uruchomimy, a w połowie instalacji wyświetlony zostanie komunikat o błędzie. W takim przypadku chyba każdy będzie przekonany, że po prostu próbował zainstalować aplikację z uszkodzonego pliku. W rzeczywistości na dysk komputera został wgrany koń trojański, a cała reszta to tylko “zasłona dymna”.
Anatomia konia
Koń trojański jest programem zawierającym ukryte funkcje, które mogą poważnie narazić na szwank bezpieczeństwo naszego systemu. Wykonuje on swoje zadania bez wiedzy użytkownika, jednak w przeciwieństwie do wirusów lub robaków nie rozsyła się zazwyczaj samoczynnie. Jakie to funkcje? Najpopularniejsze służą do zabawy, choć właściwie zabawne są tylko dla atakującego. Po uzyskaniu dostępu do komputera można zdalnie wysuwać kieszeń napędu CD, włączać i wyłączać ekran, zmieniać kolory, rozdzielczość, otwierać dowolne strony WWW i wysyłać komunikaty na ekran zaatakowanego komputera. Niestety, istnieją sposoby aby np. przechwytywać wszystko, co zostanie wpisane na klawiaturze, zrobić zrzut ekranu czy też po prostu przekopiować pliki na swój komputer. To tylko mały wycinek możliwości, jakimi dysponuje typowy koń trojański.
Opis menażerii
Konie trojańskie to często bardzo różne programy. Stąd zazwyczaj dzieli się je ze względu na ich funkcje na: backdoory, rootkity, RAT-y (Remote Access Trojan) czy keyloggery.
Backdoory (tylne drzwi) to bardzo popularne w systemach uniksowych programy, który tworzą ukryte wejście od systemu. Po włamaniu do upatrzonego komputera atakujący umieszcza specjalną aplikację lub zamienia istniejącego demona jakiejś usługi korzystającej z dostępu do Internetu na swoją wersję. Przykładowo: haker może zamienić demona obsługującego logowanie SSH na takiego, który po podaniu ściśle określonego hasła, np. 12345, będzie logującemu się użytkownikowi nadawał prawa administratora.
Rootkit to najczęściej zbiór programów dla Uniksa i jego odmian, np. Linuksa, które pozwalają na kasowanie logów i modyfikują systemowe programy. Rootkit potrafi zmodyfikować komendę ls w taki sposób, żeby nie wyświetlała w spisie plików aplikacji wgranych przez hakera. Dzięki takiej modyfikacji administrator nie widzi dodatkowych programów zainstalowanych w nadzorowanym systemie. RAT (szczur) to program typu klient-serwer. Działa podobnie jak oficjalne aplikacje do zdalnej administracji, takie jak na przykład VNC czy Symantec pcAnywhere. Różnica jest taka, że RAT-y instalują się bez wiedzy użytkownika i pozostają ukryte. Dają atakującemu pełny dostęp do komputera (tak jakby haker był przy klawiaturze).
Keylogger jest często modułem wbudowanym w rootkity lub RAT-y, który zapisuje do ukrytego pliku każde uderzenie w klawiaturę komputera. Do głównych zadań cyberszpiega należy przechwytywanie haseł, numerów kart kredytowych i innych informacji. Keylogger można zdalnie włączać i wyłączać. Pozwala to atakującemu na wybranie pory rejestrowania naciskanych przycisków klawiatury, a po zakończeniu sesji na przesyłanie zgromadzonych w pliku informacji do analizy.
Obecność koni trojańskich w systemie operacyjnym Windows nie jest zjawiskiem nowym. Szeroko znany jest chociażby Back Orifice, który został napisany w 1998 roku przez grupę Cult of Dead Cow (cDc). Nadal w Internecie krąży wiele tego typu narzędzi, które z reguły są jednak zabawkami tzw. script kiddies. Tego typu trojany zawierają głównie takie funkcje, jak zdalne otwieranie szuflady czytnika DVD/CD-ROM. Ponadto można je bardzo łatwo wykryć w systemie, gdyż były pisane głównie dla zabawy, a bezpieczeństwo stacji roboczych w tamtych latach nie było priorytetowo traktowane przez użytkowników. Wraz ze wzrostem świadomości internautów autorzy trojanów zaczęli stosować coraz bardziej wyszukane techniki ukrywania.
| Porównanie antytrojanów | ||||||
| BOClean 4.11 | PestPatrol 5 | Tauscan 1.7 | The Cleaner Pro 4.0 | TrojanHunter 3.9 | TDS3 | |
| Producent | NSClean www.nsclean.com | PestPatrol www.pestpatrol.com | Agnitum www.agnitum.com | MooSoft www.moosoft.com | Mischel Internet Security www.misec.net | DiamondCS www.diamondcs.com.au |
| Cena | 39,95 USD | 39,95 USD | 29,95 USD | 49,95 USD | 39,95 USD | 49 USD |
| Baza danych | około 3000 trojanów + około 15 000 odmian | około 50 000 “szkodników” (nie wszystkie są trojanami) | około 6000 trojanów (w tym 2500 unikatowych) | około 6200 trojanów (w tym 1600 unikatowych) | około 10 000 sygnatur (w tym 3500 trojanów) | około 13 500 trojanów (plus 15 000 ich mutacji) |
| Funkcjonalność | wbudowany mechanizm uaktualnień, zabezpiecza sam siebie przed wyłączaniem | ręczne lub automatyczne uaktualnienia, rezydujący w pamięci skaner | przegląda spakowane pliki, monitoring procesów w pamięci | analizuje spakowane pliki, nadzoruje ważne klucze w Rejestrze systemu i zgłasza próbę modyfikacji | skanuje spakowane pliki, uaktualnienia, import i eksport reguł z plików tekstowych, tryb wiersza poleceń | zawiera m.in. skaner portów, whois lookup, funkcje ICMP, uaktualniany nawet codzienne |
