Virus Trojan Horse (Cavalli di Troia)

I noti programmi Internet chiamati trojan horses, rappresentano probabilmente uno degli aspetti piu' pericolosi dal punto di vista della sicurezza che coinvolge sia i privati che i grossi networks. Una volta installato un cavallo di troia nel tuo computer, taluni operatori remoti (i famosi crackers) sono in grado di acquisire il completo controllo della tua macchina a distanza.

Come si installa un Trojan
Questi cavalli di troia possono invadere il tuo sistema alla tua insaputa e sono studiati per eludere i firewalls, utilizzando porti che non sono bloccati dai firewalls di rete, da proxy servers o altri programmi di sicurezza. I cavalli di troia possono essere installati nella tua macchina per mezzo di vari sistemi: ad esempio puoi caricare un gioco che, alla tua insaputa, contiene un trojan horse server, puoi ricevere per e-mail una cosiddetta greeting card o altri files che contengono un gioco o un'animazione, oppure puoi essere infettato attraverso i buchi di sicurezza di Outlook, o altri programmi e-mail. I trojans possono essere inoltre trasmessi per mezzo di controlli Active X inseriti in una pagina Web, oppure possono inserirsi nella tua macchina attraverso la semplice apertura di un documento MS Office 97, Word, o un foglio di calcolo Excel infettati.

Quando uno di questi trojansè installato nella tua macchina, il cracker potrà collegarsi con il tuo computer, andare dove vuole e fare tutto quello che desidera: leggere, cancellare, modificare e copiare tutti i tuoi files riservati, caricare o scaricare qualsiasi cosa, registrare le tue conversazioni (se possiedi un microfono collegato al tuo computer), o divertirsi semplicemente a crearti problemi di sistema, arrivando persino a danneggiarlo irreversibilmente. 

I programmi antivirus spesso non sono in grado di identificare diversi tipi di trojans, se questi sono stati debitamente configurati, dal momento che molti antivirus detectano solo la configurazione per difetto di alcuni (pochi in realtà) trojans. Vediamo di capire meglio come funzionano i Trojans.

Come opera il Cracker

LO SCANNING
La prima cosa che un cracker deve fareè quella di trovare indirizzi IP disponibili per l'attacco. A questo scopo attiva il suo programma di scanning (Legion from Rhino9, per citarne uno, vaglia 254 blocchi di IP's insieme, ovvero 64.516 computers alla volta!) che gli consente di identificare i computer interessanti. Mentre lo scanner continua a lavorare, il cracker comincia a visitare manualmente le singole macchine, al fine di trovare quello che sta cercando ardentemente: per esempio dei files bancari o riservati.
Altro scanner famosoè Winhackgold di Rootshell che lavora in Unix. Grazie alla sua rapidità,è uno dei programmi preferiti dai crackers:è in grado di vagliare in pochi secondi un'intera classe di blocchi C, come pure multiple classi di blocchi C.

    LA CONNESSIONE
Una volta trovati gli indirizzi IP, il cracker si collegherà con le macchine di suo interesse, utilizzando diversi metodi di connessione. Uno dei metodiè quello di utilizzare semplicemente lo Start >Run (Esegui) di Windows, scrivendo il numero dell'IP preceduto da \\ (es:\\209.238.154.25).
Un'altro metodo,è quello di eseguire il .Bat file nella linea di comando del programma Winhackergold che connetterà tutti i computers in un'unica turnata e li porterà nel piano di lavoro del cracker.

   ENTRARE NEI DRIVES
A questo punto il cracker cliccherà sul drive che vuole visitare ed apparirà l'esploratore di Windows con tutti i files e directories contenuti nel drive prescelto. Egli è adesso in grado di operare su ogni comando di explorer: copiare e trasferire, cancellare, rinominare, editare, cercare, creare nuovi files e directories, leggere files,ecc. Dopo aver copiato e trasferito ogni dato di suo interesse nel proprio computer, il cracker potrà poi dedicare tutto il tempo che vorrà per analizzarne il contenuto.

   ALTRI MODI DI TROVARE COMPUTERS DA ATTACCARE
Esistono altri metodi a disposizione dei crackers per trovare computers da attaccare. Uno di questi è l'utilizzo del plugin per le Chat contenuto in Winhackgold: se il cracker si trova nella stanza di discussione, tenterà di connettersi simultaneamente con tutti i computers presenti nella stanza, per mezzo del comando Exploit all. In tal modo, il cracker discuterà con i presenti per tenerli occupati mentre, in realtà, sarà intento a copiare i loro files.
Altro "programmino" della categoria, ma con fini diversi,è rappresentato da Winhackgold smbls 98 tgz che, ove piazzato in certi siti Web, censirà in un file tutti i visitatori che hanno un sistema aperto. L'aspetto "divertente" di questo programma è che possiede un'opzione per distruggere Windows dai computers dei visitatori, una volta finita di caricare la pagina Web!

Cosa fare per evitare di essere infettato da un Trojan

Prima di tutto usare il buon senso, evitando di visitare pagine Web insicure e, soprattutto, esercitare una particolare cautela nel caricare un programma (giochi compresi) offerto da uno di questi siti. Ogni volta che carichi un programma o un file dal Web, fare sempre uno scanning con i tuoi antivirus ed antitrojans prima di aprirlo/eseguirlo. Ricordare che occorre anche aggiornare periodicamente il tuo sistema operativo, installando ogni nuova patch di sicurezza, proposta periodicamente nel sito di Windows. Limitare il campo di azione, o disattiva gli ActiveX e Java Applets che permettono l'esecuzione automatica di programmi (i Java Applets si eseguono come un programma indipendente in seno alla JVM - Java Virtual Machine - e questa si esegue come un programma indipendente sulla macchina che attiva il navigatore).

Se poi sei un utilizzatore avanzato, puoi anche verificare la base di registro di Windows, per cercare di identificare eventuali trojans installati nel tuo computer. Ma fai attenzione: l'integrità del registro di Windows è una conditio sine qua non del tuo sistema. Dunque non cancellare delle entrate, se non sei ben sicuro di quello che fai! Premesso questo, aprire Windows Registry ed esplorate i folders Run, ove programmi come NetBus si installano pronti ad operare ad ogni avvio del tuo computer:

Start > Run > scrivere Regedit > HKEY_LOCAL_MACHINE >Software > Microsoft > Windows > CurrentVersion > Run oppure Runservices e verifica l'assenza di entrate sospette tipo WINOBC, Netbus/Server, Patch.exe, ecc. 

Tenere comunque presente che se il nome del programma è stato nel frattempo cambiato dai suoi ideatori/propagatori, non si è in grado di identificare le entrate da cancellare, a meno ché non si posseggai una reale familiarità col sistema.

Vediamo qualcuno dei più famosi Trojans disponibili su Internet

    NetBus

Creato originariamente come strumento di controllo a distanza per amministratori di sistema,è stato poi modificato ad hoc per divenire uno dei più completi programmi crackers. Si compone di due utilitari distinti: server e cliente a distanza. Una volta installata la parte cliente sul computer da attaccare il cracker, manovrando il mouse a suo piacimento, avrà il totale controllo di questa macchina come se fosse lui stesso seduto davanti alla sua tastiera. Inoltre, grazie ad un'altra componente integrata in NetBus, sarà costantemente avvertito via e-mail del nuovo IP del controllato, come pure del fatto cheè su Internet.

  Direct Socket

Questo programma si differenzia dagli altri trojans dal fatto di possedere anche diversi comandi di controllo per tutti i maggiori clienti Chats. Permette al cracker di utilizzare gli scripts per ottenere informazioni dalle Chat Rooms. In tal modo il cracker acquisirà il controllo della tua connessione e, in molti casi, anche quello dell'intera stanza di discussione. Si tratta di un programma fra i più avanzati che comprende anche un editore di registro per identificare in pochi secondi qualsiasi entrata; inoltreè di per sé un reale virus che infetta i tuoi files.

  Master Paradise

Fra le altre funzioni di controllo comuni ai trojans, questo consente al cracker anche di leggere i tuoi e-mail, come pure di ficcare il naso in ogni cosa che stai eseguendo, quali Telnet, FTP o altro.

  Deep Throat

Questo trojan possiede un FTP server incluso al suo interno, cosicché il cracker sarà in grado di caricare/scaricare e cancellare files alla volata, potrà aprire il tuo navigatore Web e caricare interi siti di sua scelta per te, inviarti e-mail, spegnerti il monitor, oppure attivare programmi nel tuo computer, sia in modo nascosto che evidente ai tuoi occhi!

  Girl Friend

Oltre alle altre varie funzioni, il menu di questo trojan comprende anche la possibilità di cambiare i tuoi passwords e include persino un'opzione per configurare i vari comandi a seconda dei gusti del cracker!

  Back Orifice

Altro potente trojan che include diversi plugins applicativi. Uno di questi, Butsniffer,è in grado di filtrare passwords ed altre informazioni dal pacchetto TCP. Questo significa che anche se Butsnifferè solamente caricato su una macchina, otterrà tutti i passwords e le informazioni usate da questa macchina per il proprio network.

I BUTTPLUGS

Esistono diversi plugins (Buttplugs) a disposizione dei crackers che hanno anche escogitato dei java applets che installano rapidamente questi cavalli di troia direttamente dalle pagine Web. È sufficiente che qualcuno clicchi su qualcosa che ritiene interessante (gratuito o divertente) perché il trojan si installi.

 Vediamo qualcuno di questi Butplugs:

  Butt Trumpet

Che invia e-mail contenenti gli indirizzi IP degli ospiti. Largamente usato negli Usenet, ove il cracker imposta l'esecutabile e attende che qualcuno lo installi; dopo di ché il computer della vittima invierà automaticamente per posta elettronica il messaggio "I'm wide open" a predefiniti indirizzi e-mail.

  Saran Wrap

Che consente ai Bo trojans di nascondersi in esistenti applicazioni d'installazione, come l'Install Shield. Questo plugin trasporta al suo interno un trojan installer che si incolla ad un altro programma legittimo. Il programma principale crea, per prima cosa, una copia dell'installer del trojan che viene poi eseguito e successivamente cancellato.

  Silk Rope

Che permette di legare il Bo trojan alla maggior parte dei programmi esistenti. Con questo plugin il cracker legherà l'installer di Bo a qualsiasi programma di sua scelta che porterà al suo interno il trojan stesso. L'installer di Bo viene incluso nel programma infettato, usando una criptatura a 8 Bit che renderà ancor più difficile la sua identificazione da parte degli antivirus.

OK. Ritenendo di averti sufficientemente angosciato ci fermiamo qui.