[Malo casova istorije]
Trojanci su svoje ime dobili prema cuvenom epu o opsadi Troje,
koju su Grci bezuspesno napadali 10 godina i na kraju se povukli ostavljajuci pred njenim
ulazom ogromnog konja kao znak priznavanja poraza. Trojanski ratnici su odusevljeno konja
uvukli unutar grada i posvetili su se proslavljanju svoje velike pobede. Medjutim, kada su
svi zaspali pijani, na konju su se otvorila dobro skrivana vratanca i iz njega je izasao
odred grckih ratnika koji je otvorio vrata tvrdjave pustajuci unutra ostale Grke, koji su
povlacenje iscenirali i cekali na taj trenutak. Nakon toga Troju su veoma lako zauzeli.
[Ulazimo u pricu...]
Potpuno je pogresno trojance zvati virusima, zato sto su oni kompletne aplikacije i ne sire
se kao virusi. Takodje, trojanski konji se mogu ukloniti brisanjem njihovog fajla iz
odredjenog direktorijuma, za razliku od virusa koji su obicno zakaceni za druge datoteke i
ubacuju se u memoriju. Vecina njih nije sama po sebi destruktivna, ali zato omogucuje bilo
kome na Internetu da upravlja vasim kompjuterom ili mu salje vase lozinke itd., tako da to
kolika ce nam steta biti naneta zavisi samo od onoga ko se domogao nasih podataka. Kod
trojanaca treba napraviti razliku izmedju KLIJENTA i SERVERA. Server je sam trojanac, dok
je klijent program pomocu koga se njime upravlja.
Najpoznatiji trojanac je svakako Back Orifice (BO), koga je za samo mesec dana preuzelo i
koristilo skoro 100000 ljudi na Internetu. On izgleda kao obicna klijent-server aplikacija
za rad na udaljenom racunaru sa izuzetkom sto se server, tj. sam trojanac, instalira bez
pitanja, kao virus, kada startujete zaracenu aplikaciju i omogucava svakome ko dodje do vaseg
IP broja da preuzme potpunu kontrolu nad vasim racunarom dok ste na Internetu. Posle BO-a
zavladala je prava pomama za slicnim programima, pa je izasao i veliki broj njegovih
naslednika medju kojima su najpoznatiji NetBus, Millenium itd. Medjutim, i domaci
provajderi su resili da tome stanu na put. Vecina je zatvorila port 31337 (na koji je BO
najcesce konfigurisan), a otvorene su i e-mail adrese preko kojih se moze prijaviti
zloupotreba korisnickog naloga (one su najcesce tipa abuse@provajder npr. abuse@eunet.yu,
abuse@beotel.net itd.). Neki dobavljaci koriscenje trojanaca sankcionisu izbacivanjem, dok
drugi samo upozoravaju zlonamernike.
Mnogi kada cuju rec trojanac pomisle na programe tipa NetBus-a za nedozvoljenu kontrolu
racunara preko Interneta. Da to nije uvijek tako evo liste malo "drugacijih":
"Nuke Master" - proizvoljno brise fajlove na disku;
"Cable Accelerator" - predstavlja se kao program za ubrzanje rada modema, a, u
stvari, reboot-uje kompjuter svakih deset minuta;
"Happy99" - menja fajl wsock32.dll da bi mogao da zakaci sebe za svaku poruku
koju saljete elektronskom postom ili u diskusione grupe.;
"Master's paradise" - jedna od njegovih verzija otvara FTP server na zarazenom
racunaru sto svima omogucava slobodan pristup njegovim fajlovima;
"The 1-900 Trojan" - posebno je zanimljiv zato sto tajno poziva neki od
telefonskih brojeva koji pocinju na 1-900 u Americi, koji su namerno izabrani da svaki
poziv naplacuju najmanje 4 USD u SAD (mozete zamisliti koliko bi to kostalo kod nas);
"Picture" - pretrazuje nas kompjuter u potrazi za PWL fajlovima (onim u kojima
se cuvaju korisnicka imena i sifre) i salje ih na e-mail adresu u Kini;
"Satanz backdoor" - kada startujemo njegovu datoteku po imenu WinVM32.exe
pojavljuje se prozorcic sa obavjestenjem o navodnoj gresci u mreznoj komunikaciji i trazi
da upisete korisnicko ime i sifru koji se, nakon toga, salju na odredjeni e-mail (prozor
se inace ne moze zatvoriti pomocu komande CTRL+ALT+DEL);
"HDFill" - puni hard disk raznim fajlovima dok se ne srusi;
"ProMail" - izgleda kao besplatan mail klijent a, u stvari, salje vase sifre
napadacu; Pored ovih, postoji jos i desetine i desetine kopija NetBus-a i BO, zatim
nekoliko bezopasnih (npr. "Mouse Joke" koji nasumicno pomjera kursor misa po
ekranu) i slicnih nabrojanim.
[Kako se zastititi od trojanaca?]
Kao prvo, najvaznije je koristiti dobar antivirus. Preporucuje se AntiViral Toolkit Pro
(skraceno AVP) / 1 / koji se moze preuzeti sa adrese http://www.avp.com (velicine je oko
4.2 MB). Nakon sto ga instaliramo startujemo deo po imenu "AVP monitor", koji ce
biti rezidentan i stalno ce nas stititi. Kvalitetni antivirusi (AV) su jos i Norton
Antivirus (http://www.symantec.com), F-Prot (potpuno besplatan DOS program,
http://www.datafellows.com/gallery/) i dr. Zatim, treba biti oprezan sa datotekama koje
preuzimamo sa Interneta i diskusionih grupa (nedavno se desilo da je na jednoj od
konferencija sa yu. prefiksom ostavljena datoteka zarazena trojancem "Kuang",
jednim od mnogih 'password stealer'-a namijenjenih za kradju Internet sifara) i svaku pre
startovanja skenirati nekim od pomenutih AV programa. Dobro bi bilo imati i neki cisto
anti-trojan program (kao na primer "The Cleaner" koji u svojoj bazi ima oko 120
trojanaca, a moze se preuzeti sa http://www.dynamsol.com/moosoft/) ali on i nije toliko
neophodan, ukoliko smo postupili po prethodnim pravilima. Takodje, nemojmo nikada
preuzimati trojanske konje da bi sa njima eksperimentisali, jer su skoro svi oni zarazeni
sopstvenim serverom.
[Kako kontrolisati trojana koga imate na sistemu?]
Kako kontrolisati trojanca kojeg imate na sistemu? Kako na
jednostavan nacin ukloniti trojanca koji se samo startuje iz Registry baze? Ne dozvolite
da Vas drugi iskoriscavaju.
Koristite program TFAK - jednostavno. Ovaj program je prvenstveno
napisan da bi pomogao uklanjanje i/li kontrolu trojanaca. Kada se program prvi put
startuje, on zapamti stanja u AUTOEXEC.BAT, CONFIG.SYS, WIN.INI, SYSTEM.INI, STARTUP
direktorijumu, WINSTART.BAT, WININIT.INI i Registry bazi. Kada se nesto promeni u ovim
fajlovima, prilikom sledeceg startovanja programa, bice prijavljeno da je doslo do promene
u tom sistemskom fajlu. Registry bazu je sada daleko lakse pregledati, jer Vas program
direktno uputi u sekciju koja je vezana za taj sistemski fajl pa ne morate da kopate po
racunaru gde se sta nalazi. Npr. vise nije potrebno "kopati" po Registry bazi da
bi dosli do kljuca:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\.
Sada je dovoljno pozvati iz padajuceg menija Registry 1 i imacete kao na dlanu prikaz
Registry kljuca
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\
i
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
ili Registry 2 i bice Vam prikazani sledeci kljucevi:
HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command
i
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command.
To su svi kljucevi za koje se kace svi standardni trojanci. Odatle sada mozete lako i da
uklonite neki red iz Registry baze. Ovaj program je trojan remover. Trenutno u
svojoj bazi ima podatke o 481 trojancu (backdoor i PSW) i 25 klijentskih backdoor
funkcija, koje uspesno otkriva i uklanja ili Vam dozvoljava da ih kontrolisete. TFAK moze
i da posluzi kao Domain Scanner i Trojan Scanner, tj. da skenira sve portove na Internetu
i da trazi sve trojance koji salju neke podatke na Internet. Tu mozete da vidite koji
trojanci su jos uvek u "opticaju". Potrebno je samo da u programu navedete
raspon IP adresa koje zelite da skenirate ili tacno odredenu IP adresu koju zelite da
skenirate.
Detect and remove trojans je skener koji detektuje da li na svom racunaru imate nekog
trojanca. Za sada baza moze da detektuje 506 trojanaca. Nije ni puno, a nije ni malo. Port
check je opcija kojom mozete da skenirate sve portove koje koristi Vas racunar u potrazi
za trojancem. Veoma lako mozete da otkrijete trojanca i da vidite koji on port koristi. Uz
pomoc ovog programa mozete uvek da vidite koji su programi trenutno ucitani i da, ako je
potrebno, neki "ubijete", tj. da ga obrisete iz memorije. To je omoguceno
opcijom What is running ?.
What is autostarted je alatka koja omogucava laksi pregled sistemskih fajlova i mozete
jako lako da vidite neku neispravnost koju je uneo neki trojanac. S ovom alatkom treba
biti pazljiv jer nestrucnim rukovanjem mozete cak i da onesposobite svoj sistem a onda
niste nista uradili. Kako kontrolisati trojanca kojeg imate na Vasem racunaru? Ovaj
program, nudi opciju da mozete da kontrolisete neke trojance i da eventualno Vi
kontrolisete mediatora. TFAK nudi opciju da kontrolisete sledece trojance: Backdoor 2.03,
Blada Runner 0.8, Coma 1.09, Devil, Doly Trojan 1.7, Exploiter, Frenzy 2000, GateCrasher,
Host Control, InCommand 1.0, INI Killer, Kaos, NetBus 1.7, OOLT, Phase Zero 1.0, Robo Hack
1.2, Satan's Back Door, Secret Service, Spying King, Sub7 2.0, SysMon, TerrorTrojan,
UMuerte, Vampire 1.2, WarTrojan 2 i WinCrash 2.0. Ovu opcija je za malo naprednije
korisnike. Autor programa je SnakeByte, koji je clan nemacke Kryptocrew ekipe koja se bavi
sigurnoscu korisnika. Ovaj program je besplatan za ne komercijalno koriscenje. Svaka
njegova zloupotreba je kaznjiva.
[Zavrsna rec...]
Na nasem sajtu mozete naci The Cleaner koji je spomenut u
prethodnom tekstu.
|