Wypracowania

Najpopularniejsze aplikacje typu „koń trojański”

W niniejszej pracy przedstawionych zostało 20 najpopularniejszych programów komputerowych należących do grupy "koni trojańskich" (potocznie zwanych "trojanami") na których ataki narażony jest użytkownik komputera podłączonego do Internetu. Opisane programy zostały podzielone na dwa typy:

aplikacje pracujące w środowisku tekstowym w oparciu o usługę TELNET

aplikacje posiadające własne środowisko graficzne (GUI), działające w oparciu o architekturę klient-serwer

APLIKACJE PRACUJĄCE W ŚRODOWISKU TEKSTOWYM W OPARCIU O USŁUGĘ TELNET

1. T5Port 1.0

Niewielki (18 432 B) trojan, którego autorem jest człowiek o pseudonimie "icta". T5Port jest jednym z pierwszych i najprostszych programów tego typu. Nie posiada on instalatora ani narzędzia konfiguracyjnego. Trojan instaluje się na komputerze ofiary zajmując port 31337, a połączenie włamywacza z programem na komputerze docelowym odbywa się poprzez terminal z wykorzystaniem usługi TELNET. Po nawiązaniu połączenia włamywacz podaje ustawione na stałe hasło, które brzmi "satan". Ten koń trojański aktywny jest tylko podczas trwania sesji systemu Windows, a jego zagnieżdżenie odbywa się poprzez dokonanie odpowiedniego wpisu w rejestrze systemowym, co powoduje łatwą dezaktywację, ale trudną lokalizację, ze względu na dowolną nazwę, pod jaką może się ukrywać. Ponieważ jest on bardzo prostym w konstrukcji programem, komend dostępnych dla włamywacza jest niewiele:

annoy - powoduje wyświetlenie komunikatu o błędzie
cmd ... - uruchamia określoną komendę systemową
die - "zabija" sesję trojana (usuwa go z pamięci)
exec ... - uruchamia określoną aplikację w systemie ofiary
help - wyświetla pomoc
shutdown - uruchamia ponownie komputer ofiary

Usuwanie z systemu:

Trojan ten nie jest wykrywany przy pomocy oprogramowania antywirusowego, trzeba go usuwać ręcznie. Procedura usunięcia trojana z systemu przebiega następująco:

Należy sprawdzić przy pomocy dowolnego skanera portów czy port 31337 jest otwarty, jeżeli jest, należy sprawdzić, jakie procesy działają w bieżącej sesji systemu operacyjnego. Następnie trzeba ustalić nazwę, pod jaką działa trojan (jest to dość trudna operacja, ponieważ często trojany przybierają nazwy bardzo zbliżone do właściwych procesów systemowych). Kolejnym krokiem po ustaleniu nazwy pliku, jest odszukanie go na dysku i porównanie z przedstawionym wyżej rozmiarem (18 432 B). Jeżeli rozmiar będzie pasował, istnieje bardzo duże prawdopodobieństwo jest to właśnie ten trojan. Następnie należy uruchomić Edytor Rejestru (regedit), odnaleźć klucz:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

(albo ~RunOnce bądź ~RunServices) i usunąć klucz, który jest nazwą interesującego nas pliku, jeżeli takiego klucza nie ma, oznacza to, że koń trojański nie zagnieździł się w rejestrze i wystarczy uruchomić ponownie komputer. Po restarcie komputera należy odszukać plik trojana na dysku i usunąć go, jeżeli system nie pozwoli na to informując, że plik jest aktualnie używany, należy ponowić próbę jego usunięcia uruchamiając system w trybie awaryjnym.

2. BOWL 1.0

Pseudonim jego twórcy to "!brainwat". W skład trojana wchodzą dwa pliki: bowl.exe (38 912 B) - będący plikiem głównym, oraz config.exe (15 360 B). Domyślnym hasłem dostępowym do trojana jest "allnewbowl", a komunikacja z programem przebiega przez terminal z wykorzystaniem usługi TELNET na porcie 1981. Po nawiązaniu połączenia i podaniu hasła pojawia się ekran serwera BOWL'a podający konfigurację komputera ofiary. Trojan obsługuje następujące komendy:

beep - generuje charakterystyczny sygnał dźwiękowy
cd/chdir - przechodzi pomiędzy katalogami
cat - wyświetla zawartość plików
clear - czyści ekran
cmdr - uruchamia program i wypisuje rezultat po jego ukończeniu
cmd[v] - uruchamia niezauważalny dla ofiary plik wsadowy command.com (tryb wiersza poleceń)
del/rm - usuwa pliki
dir/ls - wyświetla istniejące katalogi
die - kończy pracę trojana (usuwa go z pamięci)
errormsg - wyświetla informację o błędzie
freeze - zatrzymuje system ofiary
exec[v] - uruchamia aplikację w sposób niezauważalny dla ofiary
get - ściąga plik z dysku ofiary (włamywacz uruchamiając przeglądarkę internetową, wpisuje adres w formacie: http://IP.ofiary:1982/nazwa_pliku)
kill - kończy działanie aktywnego proces
graphoff - zamyka tryb graficzny
md/mkdir - tworzy katalog
passwd - wyświetla hasła: Netscape Navigator, MS InternetMail a także zasobów sieciowych
quit - zamyka klienta programu
ps - wyświetla listę aktywnych procesów
rd/rmdir - usuwa puste katalogi
swapmouse - zamienia klawisze myszki
shutdown - resetuje komputer ofiary
vied - uruchamia edytor tekstu (maksymalnie 1024 linii oraz 256 znaków w linii)
telnet - otwiera połączenia przez TELNET z innym komputerem

Usuwanie z systemu:

Tego trojana nie wykrywają systemy antywirusowe, należy go usunąć ręcznie, przez usunięcie z rejestru klucza "NetworkPopup" z drzewa:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices, następnie zrestartowanie komputera i usunięcie z dysku pliku bowl.exe

3. ACID SHIVER

ACID SHIVER to rozbudowana aplikacja pozwalająca nie tylko przejąć kontrolę nad komputerem ofiary, ale również umożliwia wygenerowanie trojana i uruchomienie go na zdalnej maszynie. Narzędzie składa się z dwóch modułów: konfiguratora ACiD Setup.exe o rozmiarze 14 366 B, oraz części serwerowej AciDShivers.exe posiadającej rozmiar 186 368 B. Przy pomocy konfiguratora włamywacz generuje plik o dowolnej nazwie, który zawiera serwer aplikacji, adres serwera SMTP (służącego do przesyłania poczty) oraz adres mailowy włamywacza. Ikona trojana jest łudząco podobna do typowych ikon programów instalacyjnych rozprowadzanych przez firmę Microsoft. Charakterystycznym działanie tego programu jest próba połączenia się ze zdefiniowanym wcześniej serwerem pocztowym celem wysłania do włamywacza informacji zawierających adres IP oraz otwarty port na komputerze ofiary, który każdorazowo się zmienia, a przez który może nastąpić komunikacja. AS jest więc mało skuteczny w sieciach lokalnych, które nie posiadają własnego serwera pocztowego. Trojan ten jest udostępniany na zasadach open-source (jest to projekt otwarty, o swobodnym dostępie do kodu źródłowego) co jest rzadko spotykane w tego typu aplikacjach, dlatego dosyć szybko powstają jego nowe wersje i modyfikacje. AS wykrywa większość aplikacji antywirusowych. Serwer trojana wymaga do pracy dwóch plików: mswinsck.ocx oraz msvbvm50.dll, jeżeli chodzi o obsługiwane polecenia, ich lista prezentuje się następująco:

beep # - generuje dźwięk n-razy
help - wyświetla pomoc
bounce - przekierowanie połączenia na podany komputer i port
cd - zmienia bieżący katalog
cat - pokazuje zawartość pliku
cls - czyści ekranu
copy - plik1 kopiuje do plik2
cmd - wywołuje określoną komendę
date - pokazuje bieżącą datę
desk - ustawia katalog pulpitu jako domyślny
del - kasuje plik
die - wyłącza aplikację
drive - wyświetla informacje na temat napędu
dir - wyświetla listę dostępnych katalogów
drives - wyświetla fizyczne dyski, dyski wirtualne, sieciowe oraz napędy CD-ROM
get - pobiera plik z komputera ofiary
env - pokazuje zmienne systemowe
hide - ukrycie aplikacji o podanym identyfikatorze w menedżerze zadań
info - pokazuje informacje dotyczące użytkownika i komputera
label - modyfikuje etykietę dysku
kill - zakańcza aktywny proces
ls - analogicznie do komendy "dir"
mkdir - tworzy nowy katalog
port # - zmienia portu na jakim pracuje AS (zmiana obowiązuje po restarcie komputera)
name - modyfikuje nazwę sieciową komputera ofiary
ps - wyświetla listę aktywnych procesów
s - wysyła sekwencję klawiszy do aktywnej aplikacji
sh - działa jak "s" pokazując dodatkowo rezultat operacji
rmdir - powoduje przeniesienie katalogu wraz z plikami i podkatalogami
shutdown - uruchamia ponownie proces serwera
shows - pokazuje informację na temat procesu o identyfikatorze
version - wyświetla numer wersji trojana
time - wyświetla bieżący czas

Usuwanie z systemu:

Trojan ten może być wykryty przez dobre aplikacje antywirusowe. Można również usunąć go ręcznie. Acid Shiver zostawia w rejestrze zapis:

"Explorer"= "C:WINDOWSMSGSVR16.EXE" w gałęziach:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun oraz

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices. Standardowe działanie mające na celu usunięcie trojana to:

skasowanie wpisów w rejestrze systemu
restart komputera
usunięcie pliku C:windowsmsgsvr16.exe

Grupa LEENTech Corporation wypuściła zmodyfikowaną wersję trojana Acid Shiver. Wielkość pliku serwera tej wersji to 188 416 B a nazwa to tour98.exe. Ta odmiana dopisuje do rejestru klucz "WinTour" = "C:WINDOWSWINTOUR.EXE" w kluczach:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun oraz

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices, wersja ta zawiera też dodatkowe komendy:

bcat albo bget - pokazuje zawartość pliku binarnego
macaddr - wyświetla status połączenia sieciowego
recent - usuwa katalog RECENT (zawierający informację o ostatnio otwieranych dokumentach)
status - wyświetla stan wszystkich portów używanych w bieżącej sesji systemu

APLIKACJE POSIADAJĄCE WŁASNE ŚRODOWISKO GRAFICZNE (GUI), DZIAŁAJĄCE W OPARCIU O ARCHITEKTURĘ KLIENT-SERWER

1. BACK ORIFICE

Napisany przez CotDCCBO (Cult of the Dead Cow Communications Back Orifice) stanowi mocno rozbudowane narzędzie służące administrowaniu komputerem ofiary. Back Orfice łączy w sobie zalety wcześniejszych programów jak T5Port czy BOWL udostępniając dopracowany graficzny interfejs. Trojan może działać jedynie na komputerach z systemami Windows 95 i Windows 98, a jego instalacja przebiega bardzo szybko. Na pakiet BO składają się następujące pliki:

plugin.txt - opis dodatkowych wtyczek (pluginów) do BO (914 B)
bo.txt - opis aplikacji BO (15 184 B)
boserver.exe - serwer BO instalujący się automatycznie (124 928 B)
boclient.exe - tekstowy klient BO (57 856 B)
bogui.exe - graficzny klient BO (284 160 B)
boconfig.exe - konfigurator BO (28 672 B)
freeze.exe - narzędzie do kompresji plików (33 280 B)
melt.exe - narzędzie do dekompresji plików skompresowanych narzędziem freeze (29 184 B)

Główną część BO stanowi serwer (boserve.exe). Po uruchomieniu potrafi w niezauważalny sposób zainstalować się w systemie. Do jego konfiguracji służy plik boconfig.exe, który może zostać dołączony do zawartości innych plików w sposób podobny, jak czynią to wirusy. Narzędzia freeze i melt używane są przez trojana do kompresji i dekompresji plików. Podczas pierwszego uruchomienia serwer BO generuje plik windll.dll, umieszczając go w katalogu systemowym (plik ten umieszczony jest w kodzie trojana), następnie szuka procesów wykorzystywanych przez poprzednią wersję BO, zamyka je, uruchamia własne zadania, kopiuje się do katalogu systemowego pod postacią pliku wykonywalnego i umieszcza swój wpis w rejestrze systemu w sekcji autostartu. Następnie zaczyna nasłuchiwanie na porcie 31337 (podobnie jak T5Port) i oczekuje połączeń od swojego klienta. BO przyjmuje komendy wydawane tradycyjnie za pomocą konsoli tekstowej, lub poprzez aplikacje graficzną, z dostępnych trojanowi komend znane są następujące:

App add - powoduje uruchomienie aplikacji gotowej do "nasłuchu" na wskazanym porcie
App del - powoduje zatrzymanie wystartowanej wyżej aplikacji
Apps list - prezentuje listę uruchomionych aplikacji
Directory list - pokazuje listę katalogów dostępnych na serwerze
Directory create - zakłada katalog na serwerze
Directory remove - kasuje katalog
Exports list
Export add
Export delete
File find - odszukuje pliki
File copy - kopiuje pliki
File delete - usuwa pliki
File melt - rozpakowuje (dekompresuje) pliki
File freeze - pakuje (kompresuje) pliki
File view - wyświetla zawartość pliku tekstowego
HTTP Enable - uruchamia serwer http (możliwe jest uzyskanie dostępu do komputera poprzez przeglądarkę)
HTTP Disable - kończy pracę serwera http
Keylog begin - zapisuje sekwencję klawiszy wciskanych na komputerze ofiary
Keylog end - zakańcza logowanie sekwencji klawiszy
MM Capture frame - wyłapuje pojedyncze klatki
MM Capture screen - wyłapuje zawartość ekranu (screenshot)
MM Capture avi - przejmuje obraz video oraz dźwięk z serwera
MM Play sound - uruchamia odtwarzanie dźwięku na serwerze
MM List capture devices - wyświetla listę przechwytujących urządzeń
Net use - powoduje przyłączenie serwera ofiary do sieci
Net delete - odłącza komputer ofiary od sieci
Net view - pokazuje informacje na temat sieci (udostępnione dyski, katalogi)
Net connections - wyświetla listę połączeń sieciowych
Ping host - odpytuje zdalny komputer za pomocą pakietów ICMP
Plugin kill - zakańcza działanie wtyczki (pluginu) BO
Plugin execute - powoduje uruchomienie wtyczki (pluginu) BO
Plugins list - pokazuje listę dostępnych wtyczek (pluginów) BO
Process list - pokazuje listę uruchomionych procesów
Process kill - zakańcza proces
Process spawn - powoduje uruchomienie programu jako ukrytego/widzialnego na serwerze
Redirs list - pokazuje listę dostępnych przekierowań połączeń TCP/IP
Redir add - przekierowuje połączenia TCP/IP
Redir del - odwołuje przekierowania połączeń TCP/IP
Reg delete value - usuwa wartość klucza rejestru systemowego
Reg create key - dodaje nowy klucz do rejestru systemowego
Reg delete key - usuwa klucz z rejestru systemowego
Reg list values - pokazuje wartość klucza w rejestrze systemowym
Reg list keys - pokazuje listę kluczy w rejestrze systemowym
Reg set value - nadaje określoną wartość dla klucza w rejestrze systemowym
Resolve host - tłumaczy nazwy domenowe na adresy IP
System dialogbox - pokazuje okno dialogowe zawierające komunikat i przycisk "OK"
System lockup - zawiesza system operacyjny
System info - pokazuje informacje na temat serwera
System reboot - uruchamia ponownie serwer
System passwords - wyświetla hasła systemowe dla serwera
TCP/IP file send - wysyła dane do komputera o podanym adresie IP
TCP/IP file receive - pobiera dane z komputera o podanym adresie IP

Back Orifice może rozszerzać swoje możliwości przez wbudowane wtyczki (pluginy), które mogą zostać przesłane na serwer i tam instalowane.

Usuwanie z systemu:

Aplikację można usunąć z systemu na kilka sposobów:

automatycznie, za pomocą oprogramowania antywirusowego
automatycznie, za pomocą specjalnych narzędzi służących do usuwania konkretnie tego trojana, na przykład: Bored 0.2 executable, NOBO czy BoDirect 1.0.2
Manualnie, poprzez uruchomienie edytora rejestru (regedit) i usunięcie klucza o nazwie ".exe" z:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Services, następnie restart komputera i usunięcie z katalogu C:WINDOWSSYSTEM plików posiadających pustą nazwę i rozszerzenie ".exe" oraz plik windll.dll

2. DEEP THROAT REMOTE 1.0

Ten napisany przez grupę The DarkLIGHT Corp. Trojan składa się z pliku serwera: systempatch.exe o rozmiarze 260 971 B i klienta remoteContrlo.exe o rozmiarze 271 959 B. Serwer trojana nie wymaga hasło, co umożliwia swobodny dostęp do niego z dowolnego komputera w sieci. DTR 1.0 działa w systemach Windows 95 i Windows 98 i posiada następujące funkcje:

Zamykanie i otwieranie tacki napędu CD-ROM w komputerze klienta
Uruchamianie okna dialogowego wyświetlającego komunikat
Chowanie i przywracanie paska startu systemu Windows
Serwer FTP pozwalający ściągnąć dowolny plik znajdujący się na komputerze ofiary
Zrzut ekranu komputera ofiary (screenshot)
Otwarcie określonego adresu internetowego w przeglądarce ofiary
Włączenie trybu oszczędzania energii
W wersji nowszej niż 1.0 istnieje możliwość zobaczenia haseł systemowych
Uruchamia procesy na komputerze ofiary (widzialne dla użytkownika lub nie)
Reset serwera
Wykrywanie obecności trojana DTR na innych hostach
Kontrola aktywności sieciowej komputera w celu wykrycia serwera DTR
Wyświetlenie dokładnych informacji na temat komputera ofiary

Usuwanie z systemu:

Usunięcie trojana może odbywać się automatycznie za pomocą narzędzi antywirusowych, bądź manualnie. Aby usunąć DTR ręcznie należy w gałęzi:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun odnaleźć klucz o nazwie "SystemDLL32" i usunąć go zapamiętując wartość skojarzonego z nim programu (domyślnie systempatch.exe). Po ponownym uruchomieniu komputera należy usunąć plik o zapamiętanej nazwie.

3. MASTER'S PARADISE

Twórca tego narzędzia jest znany, jest nim Dan Lehman - niemiecki programista. MP podobnie jak inne tego typu oprogramowanie składa się z części klienckiej i serwerowej. Serwer MP może podpiąć się do dowolnej aplikacji i w taki sposób rozpowszechniać. MP stał się popularny gdy dołączył się do popularnej w owych czasach gry "Pie Bill Gates" (której akcja polega na rzucaniu ciastem w prezesa firmy Microsoft) do pliku game.exe. Gra była udostępniana w Internecie, przez co trojan mocno się rozpowszechnił. Zarażenie systemu następowało poprzez uruchomienie gry. MP działa na systemach Windows 95 i Windows 98 i posiada następujące funkcje:

Otwieranie i zamykanie tacki napędu CD-ROM (pojedyncze bądź w zaprogramowanych odstępach czasu)
Logowanie sekwencji wciskanych klawiszy w komputerze ofiary
Pokazywanie, wyłączanie i chowanie okienek aplikacji na zarażonym komputerze
Generowanie dźwięku podczas wciskania klawiszy
Rejestrowanie dźwięku poprzez mikrofon ofiary
Nawigacja kursorem myszki ofiary (za pomocą współrzędnych lub manualnie)
Odtwarzanie dźwięków na zainfekowanym komputerze
Otwieranie określonego adresu internetowego w przeglądarce ofiary
Przesyłanie plików na zainfekowany komputer
Wykonywanie zrzutów ekranu (screenshotów) komputera ofiary
Ściąganie oraz kasowanie plików na serwerze
Uruchamianie aplikacji na komputerze ofiary
Wyłączanie dowolnych klawiszy
Wysłanie komunikatów do ofiary
Wysyłanie tekstów do aktywnego programu
Wyświetlanie dokładnych informacji na temat komputera
Wyświetlanie obrazków na ekranie komputera ofiary
Zamiana przycisków myszy - lewy z prawym i odwrotnie
Regulacja głośności dźwięku
Resetowanie komputera ofiary

Usuwanie z systemu:

Aplikacja Master's Paradise jest wykrywana i usuwana przez oprogramowanie antywirusowe, usuwa ją również narzędzie BOClean, służące do kasowania trojana Back Orifice. MP zastępuje pliki sysedit.exe oraz keyhook.dll swoimi wersjami. Odzyskanie pliku sysedit.exe nie jest problemem, gdyż zawiera go każda dystrybucja instalacyjna systemu, trudniej jest z biblioteką keyhook.dll, gdyż zawierają ja tylko niektóre wersje instalacyjne. Aby usunąć MP ręcznie, należy usunąć klucz z którym skojarzony jest program sysedit.exe. Klucz znajduje się w drzewie: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. Następnie należy uruchomić ponownie komputer, odnaleźć pliki sysedit.exe i keyhook.dll, skasować je, a następnie przywrócić właściwe wersje tych plików.

4. NETBUS wersje 1.60, 1.70 oraz 2.0

W przypadku tego programu, podobnie jak miało to miejsce z Master's Paradise autor jest znany - nazywa się Carl-Fredrik Neikter. Ciekawym jest fakt, że wersja 2.0 udostępniana jest na licencji shareware, która wymaga rejestracji (istnieje licencja do użytku domowego oraz dla organizacji i przedsiębiorstw. NetBus w wersji 1.6 rozpowszechniany jest w formie dwóch plików: serwera patch.exe (472 576 B) i klienta netbus.exe (567 296 B). Analogicznie przedstawia się wersja 1.7, której pliki różnią się od wersji poprzedniej jedynie rozmiarami, serwer ma rozmiar 494 592 B a klient 599 552 B. Obie wersje działają nasłuchując na portach 12345 albo 12346. Wersja 2.0 dystrybuowana jest formie instalatora InstallShield® i nasłuchuje na porcie 20034.

Parametry serwera można zmodyfikować po podłączeniu się klientem, albo w przypadku wersji 2.0 również przy pomocy programu instalacyjnego. W wersjach starszych niż 2.0 potrzeba tylko uruchomić serwer (nazwa serwera może być różna niż patch.exe) w celu jego uaktywnienia (możliwe jest stosowanie przełączników: /remove /noadd /port:xxx /pass:xxx). NB posiada podobne do wcześniej opisanych trojanów funkcje, do których należą:

Otwieranie i zamykanie tacki napędu CD-ROM (jednorazowo lub w zaprogramowanych odstępach czasu)
Logowanie sekwencji klawiszy wciskanych przez ofiarę
Pokazywanie, wyłączanie i chowanie okienek aplikacji na komputerze ofiary
Generowanie dźwięku podczas naciskania klawiszy
Nagrywanie dźwięku poprzez mikrofon ofiary
Przejęcie kursora myszy ofiary (przez podanie współrzędnych lub manualnie)
Odtwarzanie dźwięku w komputerze ofiary (w formacie WAV)
Otwarcie określonego adresu internetowego w przeglądarce ofiary
Powiadamianie e-mailem o obecności ofiary w sieci
Przesyłanie plików na zakażony komputer
Przekierowanie danych z określonego portu na wskazany komputer i odwrotnie (możliwość zarządzania pracą aplikacji ofiary ze zdalnego poprzez konsolę telnetu)
Wykonanie zrzutu ekranu (screenshot)
Przeszukiwanie sieci w aspekcie działających serwerów NetBusa
Pobieranie oraz kasowanie plików na serwerze
Uruchamianie aplikacji na zainfekowanym komputerze
Zablokowanie dowolnego klawisza
Wysyłanie komunikatów do ofiary
Przesyłanie tekstu do aktywnego programu
Wyświetlanie dokładnych informacji na temat komputera
Wyświetlanie na ekranie komputera ofiary pliku obrazka (w formatach JPG i BMP)
Podmiana przycisków myszy: lewy z prawym i odwrotnie
Regulacja głośności dźwięku
Modyfikacja parametrów pracy serwera NetBus (zamiana portu, hasła, itp.)
Wylogowanie ofiary z systemu, reset komputera

Dodatkowo w wersji 2.0 wykonano następujące modyfikacje:

Zmieniono środowisko graficzne (GUI)
Zwiększono wydajność pracy
Zmieniono menedżera obsługi plików
Zmieniono menedżera obsługi okien
Dodano menedżera do edycji ustawień rejestru systemowego
Dodano menedżera obsługi wtyczek (pluginów)
Dodano możliwość pobierania filmów z serwera
Dodano możliwość podglądu haseł systemowych
Dodano klienta "chat" umożliwiającego rozmowy z innymi użytkownikami NetBusa

Usuwanie z systemu:

NetBus wykrywany jest przez programy antywirusowe, do jego usuwania służy również narzędzie NetBus Remover. Samodzielne znalezienie NB może nastręczać pewnych trudności, gdyż serwer tego trojana może przyjąć dowolna nazwę. Można go wykryć w rejestrze, gdzie kolejne wersje trojana pozostawiają następujące wpisy:

wersja 1.6 - HKEY_CURRENT_USERNETBUS
wersja 1.7 - HKEY_CURRENT_USERNETBUS
wersja 2.0 - HKEY_CURRENT_USERNetBus i HKEY_CURRENT_USERNetBus Server

Aby usunąć trojana w wersji 2.0, należy odnaleźć klucz

HKEY_CURRENT_USERNetBusTransfer, odczytać ścieżkę do serwera, usunąć podane wyżej klucze, uruchomić ponownie komputer i usunąć plik serwera oraz bibliotekę nbhelp.dll w nowej sesji systemu. Usunięcie wersji wcześniejszych jest trochę trudniejsze, z uwagi na fakt, iż serwer może posiadać inną niż patch.exe nazwę. Można ją odczytać z rejestru, z drzewa HKEY_CURRENT_USER. Znając nazwę można usunąć trojana kasując wpisy w gałęzi HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun.

5. PROSIAK 0.47, 1/2

Ten swojsko brzmiący trojan, jest autorem polskiego programisty ukrywającego się pod adresem i składa się z części serwera o nazwie prosiak.exe (237 056 B w wersji 1/2 oraz 238 592 B w wersji 0.47) i klienta - pro_cli.exe (258 048 B w wersji 1/2 i 211 456 B w wersji 0.47) .

Serwer Prosiaka działa na porcie 33333 w wersji 0.47 i 44444 w wersji 1/2, na systemach Windows 95 i Windows 98. W porównaniu z wymienionymi wcześniej trojanami, Prosiak posiada kilka innowacji. W wersji 0.47 dostępne są następujące funkcje:

odinstalowanie, zamknięcie oraz zmiana nazwy dla serwera
zmiana nazwy, pokazywanie, chowanie, maksymalizowanie, minimalizowanie, okien głównych oraz okien potomnych (menu aplikacji)
zmiana nazwy komputera
efekty wizualne: wstrząsanie, kurczenie, migotanie, dziurkowanie okien, negatyw, rozmycie "skaczące piksele", "znikające kolory", "inwazja mrówek"
wyświetlanie informacji na temat serwera (nazwa domeny, ścieżki systemowe, adres IP)
wykonywanie podstawowych operacji na plikach (usuwanie, kopiowanie, uruchamianie, ściąganie, tworzenie katalogów, wysyłanie do serwera)
czytanie, kasowanie oraz transfer tekstów do schowka
uruchamianie na komputerze ofiary programu pocztowego z ustawionym adresem mailowym i tematem
uruchamianie na zainfekowanym komputerze strony internetowej
wykonywanie komend systemowych
ukrywanie/odkrywanie paska zadań, przycisku START oraz pulpitu
włączanie wygaszacza ekranu i trybu oszczędności energii
podmiana przycisków myszy
reset systemu, wylogowanie użytkownika
wyświetlanie okna dialogowego / komunikatu podążającego za kursorem myszy
wyświetlenie obrazka na zarażonym komputerze
zrzut ekranu komputera ofiary (screenshot), niestety bardzo wolno działający
odtworzenie pliku dźwiękowego na komputerze ofiary

Wersja 1/2 posiada dodatkowo:

bardziej szczegółowe informacje na temat systemu (rozdzielczość, czas pracy, długość pinga, pamięć fizyczna)
opcję zawieszania systemu
skaner sieci, wykrywający serwer Prosiaka na innych hostach w sieci
możliwość edycji i uruchamiania skryptów
wystartowanie usługi proxy (przekierowanie portów znane z NetBusa czy BO)
zmianę hasła (hasło domyślnie to: prosiak)
konsolę poleceń wykonywanych przez serwer
wystartowanie usługi serwera www

Usuwanie z systemu:

Prosiaka nie wykrywają programy antywirusowe, nie ma również aplikacji, które wykrywają jego obecność. Jedynym sposobem na usunięcie trojana z systemu jest ręczna ingerencja w rejestry systemowe. Prosiak jest łatwiejszy do wykrycia niż NetBus, ponieważ mimo, że jego serwer potrafi także przyjmować różne nazwy, pozostawia on znany wpis w rejestrze w: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices.

W wersji 0.47 wpis ma postać windll32.exe a w 1/2 - vbrun60.exe, wersja 1/2 zakłada dodatkowo klucz:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRconfig.

Po usunięciu wpisu, zrestartowaniu komputera i usunięciu pliku serwera z lokalizacji C:WINDOWSSYSTEM system będzie czysty.

6. SOCKETS DE TROIE

SDT to kolejny (oprócz Prosiaka) program w języku innym od angielskiego. Napisany został we Francji w październiku 1998 r. Trojan został napisany w Delphi 3 i posiada rozbudowany (ok. 443 kB) rdzeń. Wersja dystrybucyjna tego programu obejmuje: właściwą aplikację, dokumentację a także kod źródłowy (co jest rzadkością wśród tego typu oprogramowania). Występują dwa różne rodzaje serwera:

1. Podczas uruchomienia trojan wyświetla monit dotyczący brakującej biblioteki (setup32.sll) i instaluje się w katalogu systemowym systemu pod nazwą mschv32.exe modyfikując jednocześnie rejestr systemu tak, by móc startować podczas każdej sesji Windows. Ta wersja trojana dopisuje się w dwóch miejscach:

w KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunLoad umieszcza klucz "MSchv32 Drv = C:WINDOWSSYSTEMMSchv32.exe"
w HKEY_CLASSES_ROOTDirectSockets klucz "DirectSocketsCtrl = $A4 D5#FFF"

2. Uruchomiony trojan wyświetla komunikat o braku biblioteki isapi32.dll i instaluje się do katalogu C:WINDOWS pod nazwą srcload.exe oraz dwukrotnie do katalogu systemowego jako C:WINDOWSSYSTEMmgadeskdll.exe oraz C:WINDOWSSYSTEMcsmctrl32.exe, modyfikując rejestr w trzech miejscach:

w KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunLoad umieszcza klucz "Mgadeskdll = C:WINDOWSSYSTEMMgadeskdll.exe"
w HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Load umieszcza klucz "Rsrcload = C:WINDOWSRsrcload.exe"

w HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

ServicesLoad umieszcza klucz "Csmctrl32 = C:WINDOWSSYSTEM

Csmctrl32.exe"

Usuwanie z systemu:

Trojan SDT nie jest wykrywany przez żaden program antywirusowy, istnieje jednak narzędzie o nazwie Anti-Sockets de Troie służące do usuwania robaka z systemu, można go również usunąć ręcznie, kasując w rejestrze systemu powyższe klucze. Następnie należy zrestartować system i usunąć pliki trojana (zapamiętane z usuwanych kluczy rejestru).

7. WinCrash 1.03

To następny trojan działający w architekturze klient-serwer. Jego twórcami są programiści ukrywający się pod pseudonimami Terminal Crasher i M@niac Teen. Skonfigurowanie serwera trojana odbywa się w pełni automatycznie, a sam proces nie jest widziany w menedżerze zadań. Plik serwera (server.exe) ma rozmiar 296 448 B i charakterystyczną ikonę systemu Windows (czterokolorowe falujące okno). Włamywacz ma możliwość swobodnej zmiany nazwy pliku serwera. WinCrash posiada następujące funkcje:

otwieranie i zamykanie tacki napędu CD-ROM
załączanie i wygaszanie diod CapsLock i ScrollLock na klawiaturze
zablokowanie oraz odblokowanie kursora myszy, a także zdalne sterowanie nim
wyłączenie oraz włączenie monitora
zablokowanie drukarki sieciowej przez nadmierną liczbę procesów drukowania
blokowanie klawiszy systemowych (ScrollLock, CapsLock)
dezaktywacja schowka
aktywacja lub dezaktywacja wygaszacza ekranu
ukrycie / odkrycie przycisku START oraz paska zadań
zmiana / usunięcie tapety pulpitu
modyfikacja czasu oraz daty systemowej
wyłączenie, odinstalowanie serwera
zakończenie uruchomionych procesów
zamknięcie, zresetowanie i zawieszenie systemu
wyświetlanie okna dialogowego (CHAT) albo tekstu
wyświetlenie informacji na temat systemu
wyświetlenie haseł systemowych
pokazanie listy działających procesów
dostęp do zawartości dysku twardego na komputerze ofiary przez protokół FTP
odtwarzanie plików dźwiękowych w formacie WAV
możliwość wykonywania operacji dyskowych na zainfekowanym komputerze
zmiana zawartości pliku autoexec.bat
uruchamianie na komputerze ofiary aplikacji

Usuwanie z systemu:

Trojan ten jest wykrywany przez dobre systemy antywirusowe. Nie istnieją aplikacje, wykrywające jego obecność. WinCrash instaluje się w katalogu systemowym przybierając różne nazwy, rejestrze natomiast ujawnia się w kluczu "MsManager" = "nazwa serwera" w gałęzi: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. Manualne usunięcie WC odbywa się przez usunięcie z rejestru powyższego wpisu, restart komputera i skasowanie plików trojana z dysku.

8. Web EX 1.2

Dystrybucja tego trojana obejmuje plik serwera - task_bar.exe (115 200 B) oraz klienta web ex.exe (96 768 B). Dodatkowo do pacy tego trojana potrzebna są pliki: mswinsck.ocx, msinet.ocx i msvbvm50.dll, które nie należą do standardowych plików systemowych, tak więc włamywacz musi postarać się o to, aby znalazły się ona na komputerze ofiary. Wraz z trojanem rozpowszechniany jest również narzędzie służące do jego usuwania o nazwie antidote.exe. Web EX nie jest więc trojanem z prawdziwego zdarzenia, pełni raczej role edukacyjną, umożliwiając eksperymentowanie i zapoznanie się z zasadą działania tego typu oprogramowania. Interfejs graficzny trojana bardzo przypomina interfejs NetBusa, a zestaw jego funkcji nie jest zbytnio rozbudowany. Ciekawym pomysłem jest sprzężenie programu ze stroną autora w Internecie, gdzie na bieżąco umieszczane są adresy zainfekowanych komputerów. Funkcje Web EX'a to:

wyświetlanie okienka dialogowego z danym komunikatem na komputerze ofiary
otworzenie strony internetowej w przeglądarce ofiary
uruchomienie dowolnej aplikacji
otwieranie i zamykanie tacki napędu CD-ROM
pokazanie listy aktywnych procesów
zapełnienie tekstem ekranu ofiary
rysowanie okręgów naokoło kursora myszy
resetowanie komputera ofiary
podmiana przycisków myszy
wyświetlanie informacji na temat systemu ofiary
generowanie na stronie internetowej twórcy listy zainfekowanych komputerów (http://www.cates.mcmail.com/webex)
informowane włamywacza przez email o dostępności ofiary w Internecie
logowanie sekwencji wciskanych przez ofiarę klawiszy

Usuwanie z systemu:

Web Ex'a nie wykrywają narzędzia antywirusowe, nie ma również programów służących do jego wykrywania. Można go usunąć ręcznie poprzez usunięcie klucza "RunDl32 = C:WINDOWSSYSTEMtask_bar" z gałęzi:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, restart komputera i usunięcie pliku C:WINDOWSSYSTEM ask_bar.exe

9. EXECUTER 1

Executer to prosty trojan działający w architekturze klient-serwer, napisany przez programistę o pseudonimie "Lavar". Aplikacja, podobnie jak inne tego typu programy, składa się z serwera - exec.exe (249 334 B) oraz klienta - controller.exe (340 992 B). Wykrycie serwera może przysporzyć nieco trudności, gdyż porty na których pracuje są inne przy każdym połączeniu. Sterowanie programem przez klienta odbywa się w dość nietypowy sposób, polecenia wybiera się z listy w oknie wszystkich dostępnych komend i umieszcza się je w oknie komend przeznaczonych do wykonania. Można wykonywać komendy pojedynczo lub w grupach, istniej również możliwość zapętlenia komend. EXECUTER jest typowo destrukcyjnym trojanem, stąd taka ilość niszczycielskich funkcji:

//DestroyDblClick - wyłącza podwójne kliknięcie
//DestroyDesktopColors - zmienia kolory systemowe na żółty
//DestroyDesktopColors2 - zmienia kolory systemowe na czarny
//DestroyDesktopColors3 - zmienia kolory systemowe na niebieski
//DestroyDesktopColors4 - zmienia kolory systemowe na czerwony
//Disconnect - wyłącza aplikację serwera
//DestroyCtrlAltDel - wyłącza kombinację klawiszy CTRL+ALT+DEL
//DestroyCursorPos - ustawia kursor myszy na pozycji 0,0
//DestroyTrayWnd - ukrywa pasek zadań
//DestroyWindows - resetuje komputer ofiary
//RestoreDblClick - włącza podwójne kliknięcie
//RestoreCtrlAltDel - włącza kombinację klawiszy CTRL+ALT+DEL
//RestoreTrayWnd - przywraca pasek zadań
//CopyProgramToWindowsDir - kopiuje serwer do lokalizacji C:WINDOWS
//AddProgramToStartup - dodaje serwer do autostartu
//DeleteLogo.Sys - kasuje plik C:logo.sys
//DeleteWin.Com - kasuje plik C:WINDOWSwin.com
//DeleteIo.Sys - kasuje plik C:io.sys
//DeleteSystem.Ini - kasuje plik C:WINDOWSsystem.ini
//DeleteWin.Ini - kasuje plik C:WINDOWSwin.ini
//DeleteConfig.Sys - kasuje plik C:config.sys
//DeleteAutoexec.Bat - kasuje plik C:autoexec.bat
//DeleteCommand.Com - kasuje plik C:command.com
//DeleteRegedit.Exe - kasuje plik regedit.exe
//DeleteTaskman.Exe - kasuje plik taskman.exe
//EnableScreenPaint - włącza wyświetlanie na ekranie tekstu: "DIE!!!DIE!!!DIE!!!"
//DisableScreenPaint - wyłącza wyświetlanie na ekranie tekstu "DIE!!!DIE!!!DIE!!!"
//EnableBeeping - włącza odtwarzanie dźwięków na głośniku systemowym
//DisableBeeping - wyłącza odtwarzanie dźwięków na głośniku systemowym

W rzeczywistości EXECUTER jest dosyć prymitywny i powolny, nie posiada funkcji autoinstalacji na docelowym komputerze, należy go zainstalować manualnie poprzez umieszczenie w autostarcie.

Usuwanie z systemu:

Trojana nie wykrywają systemy antywirusowe, nie istnieją też narzędzia służące do jego lokalizacji i wykrywania. Można go usunąć ręcznie przez usunięcie klucza "<> EXECUTOR 1" = "C:WindowsSExec.exe" w gałęzi

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, resetując komputer i usuwając pliki programu.

10. GirlFriend 1.3

Napisany przez grupę Generel Failure, trojan składa się z plików serwera - windll.exe (331 264 B) - zwanego GirlFriend i klienta - gf.exe (425 984 B) - zwanego BoyFriend. Funkcje trojana nie się bardzo rozbudowane, a sam program służy głównie wykradaniu haseł i wyświetlaniu komunikatów. Ciekawą funkcją jest kopiowanie zdobytych haseł do rejestru do: HKEY_LOCAL_MACHINESoftwareMicrosoftGeneral. Trojan umieszcza przechwycone hasła we wpisach oznaczonych kolejnymi numerami np: "1" = "Połączenie Dial-up___ppp". Komendy jakie udostępnia aplikacja to:

"Show Passes" - wyświetlenie listy haseł znajdujących się na zainfekowanym komputerze (hasła do Internetu lub poczty) a także pól tekstowych (również tych gdzie hasła zakodowane są ciągiem gwiazdek)
"Send Message" - pokazanie na ekranie komputera ofiary okna dialogowego. Do wyboru są komunikaty pięciu rodzajów: ostrzeżenia, błędu, informacji, zapytania, zwykłego a także przetestowanie komunikatu w komputerze włamywacza
"Reset Password List" - usuwa hasła systemowe znajdujące się w komputerze ofiary
"Custom" - wysłanie do serwera jednej z poniższych komend:

- TEST? - wysłanie do serwera zapytania "Are you alive?", jeżeli serwer działa, odesłana zostanie odpowiedź "Server is alive!"
- ver - wyświetlenie wersji serwera
- KillHER - wyłączenie serwera (usunięcie wpisów z rejestru, plik windll.exe pozostanie na dysku)
- {U} - uruchomienie na zainfekowanym komputerze podanej strony internetowej
- {S} - odtworzenie pliku dźwiękowego w formacie WAV
- {P} - wyświetlenie pliku graficznego w formacie BMP
- DOWN - wyłączenie szukania haseł na komputerze ofiary
- UP - włączenie szukania haseł na komputerze ofiary
- setport - ustawienie nowego portu na którym pracuje serwer

Usuwanie z systemu:

Trojan ten jest usuwany przez markowe narzędzia antywirusowe. Manualne usunięcie polega na skasowaniu klucza "Windll.exe" = "C:WindowsWindll.exe" z gałęzi rejestru: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, uruchomieniu ponownie systemu i skasowaniu pliku serwera.

11. MILLENIUM 1.0

MILLENIUM to produkt milenijny stworzony przez programistę ukrywającego się pod pseudonimem DaTa-SuRgE. Program standardowo zbudowany jest z dwóch elementów: bardzo małego serwera - server.exe (48 128 B) - zwanego SPY i klienta - client.exe (164 352 B). Trojan charakteryzuje się nietypową ikoną przedstawiającą dyskietkę z zielono-czarną etykietką. Do funkcji, które realizuje opisywany trojan należą:

Reset komputera ofiary, wylogowanie użytkownika, zamknięcie systemu, uruchomienie komputera w trybie MS-DOS, zamknięcie połączenia sieciowego w komputerze ofiary
Wyłączenie, uruchomienie oraz usunięcie serwera
Otwieranie i zamykanie tacki napędu CD-ROM
Włączanie i wyłączenie kombinacji klawiszy: Ctrl+Alt+Del oraz klawiszy CapsLock i NumLock
Przejęcie sterowania kursorem myszy na komputerze ofiary
Wykonywanie podstawowych operacji dyskowych
Przekierowanie danych

Usuwanie z systemu:

Trojana MILLENIUM nie wykrywają narzędzia antywirusowe, istnieje jednak aplikacja Millenium Remove, która potrafi wykryć i usunąć złośliwe oprogramowanie z dysku. Trojan instaluje się w katalogu systemowym Windows pod nazwą reg66.exe wpisując do gałęzi rejestru HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun klucz "Millenium" = "C:windowssystem eg66.exe", jest również jedynym trojanem zostawiającym wpis "run=C:windowssystem eg66.exe" w sekcji [Windows] pliku C:WINDOWSwin.ini. Po usunięciu powyższych wpisów z win.ini i rejestru systemowego, restarcie komputera i usunięciu pliku reg666.exe z dysku, trojan zostanie usunięty.

12. NetSpy

NetSpy, stworzony przez sXi Software, jest jednym z najbardziej przemyślnych trojanów. Jego wersja dystrybucyjna do instalator aplikacji o mylącej nazwie SysProtect98, lecz po jego zainstalowaniu w C:Program FilesSysProtect nie ma nic oprócz programu odinstalowującego aplikację, natomiast w katalogu C:WINDOWSSYSTEM umiejscawia się serwer tego trojana pod nazwą system.exe (312 320 B) posiadający ikonę przedstawiającą logo systemu Windows. Do komunikowania się z serwerem wykorzystywany jest klient - sp_client.exe (388 608 B). Aplikacja działa w systemach Windows 95, Windows 98 i Windows NT i posiada następujące funkcje:

apps - pokazuje aktywne procesy
cd - przechodzi do wskazanego katalogu
closedown - kończy pracę systemu
dir - wyświetla listę plików i katalogów
getdir - pokazuje bieżący katalog
help - wyświetla wszystkie komendy
login - przeprowadza logowanie do serwera, podając informacje na temat jego nazwy, czasu oraz katalogu Windows
logout - kończy połączenie z serwerem
msg | - pokazuje okno dialogowe
nostart - ukrywa przycisk START
notask - ukrywa pasek zadań
shutdown - restartuje system Windows
sleep - przerywa pracę serwera na okres 10 sekund
start - przywraca przycisk START
task - przywraca pasek zadań
type - pokazuje zawartość pliku tekstowego
sysinfo - pokazuje informacje na temat systemu ofiary
win - uruchamia komendę systemową

Usuwanie z systemu:

Trojana NetSpy nie wykrywają żadne systemy antywirusowe, nie ma również specjalnych narzędzi służących do jego usuwania. Należy unikać aplikacji noszącej nazwę SysProtect98. NetSpy instaluje się w katalogu C:WINDOWSSYSTEM pod nazwą system.exe, dokonuje również wpisu do rejestru systemowego w postaci

"SysProtect" = "C:WINDOWSSYSTEMSYSTEM.EXE" w gałęzi:

HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun. Usuwając wpis z rejestru, restartując komputer i usuwając plik trojana z dysku pozbywamy się trojana.

13. SK Silencer 1.01

Silencer stanowi najnowsze dziecko grupy "The SmithKlan" będąc jednym z najmniejszych trojanów pracujących w oparciu a architekturę klient-serwer. Serwer - server.exe (34 304 B) posiada charakterystyczną ikonę z wykrzyknikiem umieszczonym w środku czerwonego trójkąta równobocznego, klient zaś, posiada ikonę ze znaczkiem radioaktywności i zajmuje 78 336 B. Trojan nie jest bardzo rozbudowany, będąc jednocześnie jedynym backdoorem posiadającym standardowy interfejs graficzny charakterystyczny dla typowych aplikacji pracujących w systemie Windows. Silencer działa w systemach Windows 95 i Windows 98 i poza ciekawą funkcją, jaką niewątpliwie jest kradzież haseł z komunikatora ICQ, obsługuje następujące polecenia:

Chat - uruchamia program do komunikacji pomiędzy komputerem włamywacza a serwerem
Send KeyStrokes - przesyła do zainfekowanego komputera określoną kombinację klawiszy
ICQPassJack - wykrada hasła komunikatora ICQ
Run Application - powoduje uruchomienie określonej aplikacji na serwerze
Send Msg - pokazuje na komputerze ofiary okienko dialogowe zawierającego dowolną informację
Hide Taskbar - chowa pasek zadań
Disable Ctrl-Alt-Del - dezaktywuje kombinację klawiszy Ctrl-Alt-Del
Ping Pong Virus - wyświetla na komputerze ofiary piłeczkę pingpongową, która odbija się od krawędzi ekranu
Reboot - restartuje komputer ofiary
Run Screensaver - uruchamia wygaszacz ekranu
Show Shutdown Menu - włącza mechanizm zamykania systemu

Usuwanie z systemu:

Nie istnieją dedykowane narzędzia służące do usuwania tego konkretnego trojana z systemu, jest on jednak wykrywany przez większość programów antywirusowych. Podczas instalacji Silencer nie dopisuje się do rejestru systemowego w sposób automatyczny, włamywacz musi to zrobić ręcznie, co powoduje, że nie ma typowej procedury usunięcia trojana z systemu. Generalnie usuwanie backdoora z systemu polega na znalezieniu jego wpisów w rejestrze, zrestartowaniu komputera i usunięciu z dysku plików trojana.

14. StealthSpy

Twórcą tego trojana jest rosyjski programista Andrei Birjukov i pomimo, iż narzędzia rosyjskich twórców należą do światowej czołówki, ta aplikacja pozostawia jednak sporo do życzenia, choć usprawiedliwieniem może być stwierdzenie autora, że jest do wersja Beta. Faktem jest, że program często działa wadliwie, wykonywanie określonych komend w wielu przypadkach kończy się nieoczekiwanym wyłączeniem programu, dosyć często zamiast wykonywania właściwych funkcji, program wyświetla komentarze autora. Ta wersja trojana składa się z serwera - telserv.exe - (235 520 B), klienta - telman.exe - (137 216 B), biblioteki dynamicznej tserv.dll oraz pliku wsadowego doscmd.bat, który odpowiada za wykonywanie określonych komend systemowych. Klient StealthSpy wymaga do pracy plików: mswinsck.ocx oraz msvbvm50.dll. Dosyć uboga paleta funkcji jakie realizuje narzędzie, przedstawia się następująco:

zrzut ekranu komputera ofiary (screenshot)
menedżer plików obsługujący kopiowanie plików z i na serwer
uruchamianie komend systemowych
zamykanie działających aplikacji
wyświetlanie na zainfekowanym komputerze okna dialogowego
restartowanie komputera ofiary

Usuwanie z systemu:

Nie istnieje narzędzie do usuwania trojana StealthSpy z systemu, również programy antywirusowe nie potrafią wykryć jego obecności. Podobnie jak Silencer, StelthSpy nie dopisuje się automatycznie do rejestru systemu, włamywacz musi dokonać odpowiednich wpisów własnoręcznie, co uniemożliwia opracowanie standardowych procedur jego usuwania. Trojan ten jest jednak widoczny w liście procesów wywołanej kombinacją klawiszy Ctrl+Alt+Del. Po zlokalizowaniu trojana na komputerze, należy odnaleźć właściwy plik w rejestrze systemowym i jeżeli takowy istnieje - usunąć go, uruchomić ponownie komputer i skasować pliki trojana z dysku twardego.

15. Telecommando v1.5.4

Autorem tego trojana jest programista o pseudonimie "Night Navigator". Aplikacja działa w dosyć dziwny sposób, po pierwsze wykonanie każdej funkcji wiąże się z ciągłym naciskaniem przycisku o treści "I Agree", po drugie zablokowane są kombinacje klawiszy Ctrl+Alt+Del oraz Ctrl+Esc. Kolejną sprawą jest blokada komend przed nawiązaniem połączenia z serwerem, które można wydawać bezpośrednio w konsoli lub poprzez wybranie ich z listy i dodając wymagane parametry. Serwer trojana może przyjąć dowolną nazwę, domyślnie jednak nazywa się teleserv.exe i ma rozmiar 211 456 B. Do komend obsługiwanych przez aplikację należą:

Dialog Boxes - pokazuje okienko dialogowe z danym tekstem
Get Logical Drives - pokazuje listę napędów logicznych
Hide/Show the Start Button - ukrywa, odkrywa przycisk START
Hide/Show the Taskbar - ukrywa, odkrywa pasek zadań
Hide/Show Desktop - ukrywa, odkrywa pulpit
Shutdown Server - kończy pracę serwera
Uninstall Server - deinstaluje serwer
Password Status - informuje włamywacza, jeżeli podczas sesji systemu nastąpiła zmiana haseł
Password Change - zmienia hasło dostępu do serwera
Password Delete - usuwa hasło dostępu do serwera
Execute Normal - włącza program jako proces widoczny w menedżerze zadań
Execute Minimized - włącza program w postaci zminimalizowanej
Execute Maximized - włącza program w postaci zmaksymalizowanej
Execute Hidden - włącza program jako proces niewidoczny w menedżerze zadań
List 32bit Process - pokazuje listę działających aplikacji 32-bitowych
Kill 32bit Process - kończy działanie 32-bitowej aplikacji
Get Users Name - pokazuje nazwę użytkownika
Get Computers Name - pokazuje nazwę sieciową zainfekowanego komputera
Get Users Date & Time - pokazuje datę oraz czas z serwera
Logoff User - powoduje wylogowanie ofiary
Reboot User - restartuje zarażony komputer
Shutdown User - wyłącza zarażony ofiary
Change Dir - przechodzi do innego katalogu
Make Dir - zakłada katalog
Remove Dir - usuwa katalog
Delete File - usuwa plik
List Files - pokazuje listę plików
Get Current Directory - podaje nazwę bieżącego katalogu
Misc - dokonuje podziału ekranu ofiary na części, które następnie są ze sobą mieszane
Star On/Off - uruchamia własny wygaszacz ekranu

Usuwanie z systemu:

Trojana Telecommando nie wykrywają aplikacje antywirusowe, nie ma również narzędzi służących do jego dezaktywacji. Manualne usunięcie backdoora polega na usunięciu z gałęzi rejestru

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

klucza "SystemApp" = "ODBC.EXE", restarcie komputera i usunięciu z dysku plików trojana.

16. GateCrasher 1.1

GateCracher to aplikacja w całości napisana przy pomocy języka Visual Basic a jej autorzy znani są pod pseudonimami ExCon i KillBoy. CG jako jedyny trojan potrafi infekować komputer na dwa różne sposoby: jako klasyczna aplikacja, lub jako makro dostarczane w plikach edytora Microsoft Word. Ta wersja konia trojańskiego pracuje w systemach Windows 95, Windows 98 oraz Windows NT. Dokument zainfekowany trojanem można posiąść na kilka sposobów, na przykład przez pocztę elektroniczną. Aplikacja domyślnie korzysta z portu 6969, lecz może również korzystać z innego. Na dystrybucję trojana składają się następujące pliki:

port.dat - serwer trojana, w zależności od sposobu infekcji komputera ofiary może przyjąć nazwę port.dat bądź port.exe
gc.exe - klient
tcp.exe - plik który wspomaga działanie backdoora wykorzystując protokół TCP/IP
mswinsock.ocx - plik z kontrolką ActiveX służący do komunikowania się serwera z klientem za pośrednictwem protokołu TCP/IP
msvbvm60.dll - biblioteka języka Visual Basic
inet.drv - narzędzie służące do wykrywania połączenia i uruchamiania serwera
cleaner.exe - narzędzie do usuwania trojana z systemu

Trojan udostępnia następujące opcje:

Clear Recent Folder - usuwa informację o ostatnio otwieranych dokumentach na komputerze ofiary
Close CD - powoduje zamknięcie tacki napędu CD-ROM
Close The Server - kończy pracę serwera
Close Windows - zakańcza sesję Windows
Crazy Mouse Start - przechwytuje kursor myszy ofiary
Crazy Mouse Stop - przerywa kontrolowanie kursora myszy ofiary
Delete Directory - usuwa katalog
Delete File - usuwa plik
Fill Drive - tworzy pliki na dysku twardym ofiary aż do jego zapełnienia
Format Drive - wykonuje format dysku ofiary
Get Active Windows - pokazuje listę aktywnych procesów
Get Computer Name - pokazuje nazwę sieciową zarażonego komputera
Get Disk Serial # - pokazuje informację na temat numeru seryjnego dysku twardego w zainfekowanym komputerze
Get Free Space - pokazuje informację na temat ilości wolnej przestrzeni dyskowej
Get HD Letter - pokazuje literę partycji
Get ICQ UIN - pokazuje numer ICQ ofiary
Get Local Time - prezentuje bieżący czas na komputerze ofiary
Get Organization - pokazuje nazwę organizacji na jaką zarejestrowany jest system ofiary
Get OS - pokazuje informację na temat wersji systemu Windows
Get Owner - pokazuje informację na temat właściciela systemu
Get Server Path - pokazuje ścieżkę na której zainstalowany jest serwer
Get System Directory - podaje nazwę folderu systemowego
Get Temp Directory - pokazuje lokalizację tymczasowego katalogu
Get User - pokazuje jaki użytkownik jest aktualnie zalogowany do systemu
Get Windows Directory - pokazuje nazwę domyślnego katalogu Windows
Hide Mouse - chowa kursor myszy
Hide Task Bar - chowa pasek zadań systemu
Kill Window - kończy działanie aplikacji
List File in Directory - pokazuje listę plików
Log Off - powoduje wylogowanie ofiary z systemu
Make Directory - zakłada katalog na maszynie ofiary
Open CD - wysuwa tackę napędu CD-ROM
Open Control Panel - uruchamia Panel Sterowania na komputerze ofiary
Open Date/Time - uruchamia okno właściwości daty systemowej
Open FTP Server - uruchamia działający na porcie 6970 serwer FTP, dający włamywaczowi sposobność transferu plików między klientem a serwerem
Open Webbrowser - wywołuje domyślną przeglądarkę internetową na komputerze ofiary
PING! - przesyła do serwera pakiet danych w celu sprawdzenia czy ten działa
Read from Drive A: - przegląda zawartość dyskietki w napędzie FDD ofiary
Reboot Computer - restartuje komputer ofiary
Search For File - wyszukuje określonego pliku na zainfekowanym komputerze
Send Message - powoduje wysłanie komunikatu
Send Text - przesyła komunikat do aktywnego okna tekstowego za komputerze ofiary
Set Computer Name - modyfikuje nazwę sieciową komputera ofiary
Set VolumeLabel For C - zmienia etykietę partycji C:
Show Mouse - włącza kursor myszy
Show Task Bar - odkrywa pasek zadań systemu
ShutDown - wyłącza komputer ofiary
Start Program - wywołuje aplikację za zakażonym komputerze
Start Screen Saver - aktywuje wygaszacz ekranu
Switch Window - ustawia dane okienko jako aktywne

Usuwanie z systemu:

GateCrashera nie wykrywają narzędzia antywirusowe, istnieją jednak narzędzia takie jak GateCleaner oraz BOClean 2.01, które potrafią skutecznie zlokalizować i wyeliminować trojana z systemu. Manualne usunięcie backdoora polega na usunięciu z rejestru systemowego klucza "Explore" = "EXPLORE.EXE" znajdującego się w gałęzi

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, zresetowaniu komputera oraz usunięciu z dysku twardego plików serwera.

systemu.

17. phAse zero 1.0

Autorem tego trojana jest programista o pseudonimie Njord należący do grupy Kr0me Corporation. Jak większość tego typu narzędzi phAse jest zaprojektowany do działania na platformach 32-bitowych czyli pracuje pod kontrolą systemów Windows 95, Windows 98 oraz Windows NT. Aplikacja posiada kilka bardzo przydatnych dla włamywacza funkcji: posiada wkompilowanego klienta FTP, za pomocą którego możliwe jest wykonywanie operacji na plikach znajdujących się na zainfekowanej maszynie, umożliwia modyfikowanie wpisów w rejestrze systemu, posiada mechanizm obsługi masek IP, dopuszczających do łączenia się do serwera komputerów mających określone adresy IP. Trojan posiada możliwość konfigurowania, poprzez dokonywanie wpisów w rejestrze systemowym modyfikujących nazwę serwera oraz port za pomocą programu instalacyjnego. Wykrycie backdoora utrudnia fakt, że może on zmieniać swoją wielkość. Domyślnie trojan okupuje port 555 i posiada następujące funkcje:

ftp upload - wysyłanie plików do komputera ofiary
ftp download - pobranie plików z zainfekowanego komputera
execute - uruchomienie na komputerze ofiary określonej aplikacji
change directory - zmiana katalogu
list directory - wyświetlenie listy katalogów
create directory - utworzenie katalogu
remove directory - usunięcie lub zmiana nazwy katalogu
show current dir - wyświetlenie bieżącego katalogu
copy file - kopiowanie pliku
move file - przenoszenie pliku
rename file - zmiana nazwy pliku
delete file - usunięcie pliku
type file - wyświetlenie zawartości pliku tekstowego
hex type file - wyświetlenie zawartości pliku binarnego
show dialog box - wyświetlenie okna dialogowego z tekstem na komputerze ofiary
lockup server - zablokowanie serwera
reg create key - utworzenie klucza w rejestrze systemu
reg delete key - skasowanie klucza w rejestrze systemu
reg delete value - skasowanie wartości klucza w rejestrze systemu
reg check key - sprawdzenie istnienia klucza bądź wpisu w rejestrze systemu
reg set current key - ustawienie danego klucz w rejestrze jako otwartego
reg read key value - odczyt wartości danego klucza rejestru systemowego
reg write key value - zapisanie wartości do klucza w rejestrze systemu
reg list keys - wyświetlenie dostępnych podkluczy w danym kluczu rejestru systemu
reg list values - wyświetlenie dostępnych wpisów w otwartym kluczu rejestru systemu
terminate session - zakończenie sesji serwera
unload server - zakończenie sesji serwera oraz jego deinstalacja

Usuwanie z systemu:

Trojan phAse jest identyfikowany i usuwany przez markowe systemy antywirusowe. Manualne usunięcie sprowadza się do skasowania klucza w rejestrze systemowym obecnego w gałęzi HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, zrestartowania komputera oraz usunięcia pliku serwera instalującego się w lokalizacji C:WINDOWS pod nazwę explorer.exe.

PORTY NA KTÓRYCH NAJCZĘŚCIEJ DZIAŁAJĄ PROGRAMY TYPU TROJAN

port 31 - Master's Paradise
port 555 - StealthSpy, phAse
port 1001 - Web EX
port 1025 - NetSpy
port 1981 - Bowl
port 1999 - Backdoor 2
port 5000 - Sockets de Troie
port 6969 - GateCrasher
port 12345 - NetBus
port 12346 - NetBus
port 21554 - GirlFriend
port 31337 - BO, T5Port
port 33333 - Prosiak
port 40421 - Master's Paradise
port 40426 - Master's Paradise
port 44444 - Prosiak

Niniejsza praca odzwierciedla stan na pierwszą połowę 1999 roku, w chwili obecnej stanowi bardziej rys historyczny