Troienii - Ziua porturilor deschise

Inca de la aparitia atacurilor informatice, programatorii de virusi au incercat sa dezvolte metode care sa le permita sa se intoarca in sistemul compromis. Programele de tip "trojan horse" sunt denumite asa deoarece folosesc tehnica folosita in faimosul razboi troian. Acestea isi mascheaza codul virulent sub forma unor programe inofensive ori se instaleaza in fundal, o data cu programele cunoscute, infectate in prealabil de catre atacator. Pentru ca nu se poate replica si nu infecteaza alte fisiere din calculator, un "cal troian" nu intra in categoria virusilor. Un program sau o bucata de cod malitioasa poate fi numita generic, "virus", "vierme", "cal troian" sau "spyware".

Pe scurt, troienii sunt programe de administrare la distanta. Deosebirea este ca acestia sunt folositi numai pentru scopuri distructive, putand rescrie registrii calculatorului, dezactiva antivirusii activi si modifica secventa de boot pentru a putea reporni o data cu sistemul de operare la fiecare restart sau shutdown, fara voia utilizatorului. Un troian este de obicei format din trei parti componente: Client, Editor si Server.

CLIENTUL. Este codul executabil folosit de catre atacator pentru a se putea conecta la componenta server. Are, de obicei, o interfata grafica usor de folosit, motiv pentru care troienii care circula pe internet sunt folositi foarte des de atacatorii neexperimentati sau de cei care doresc acces simplu si rapid.

EDITORUL. Este un element nonvital pentru functionalitatea si interoperabilitatea dintre server si client, acesta fiind folosit pentru a configura serverul troian, adaugandu-i functii optionale, cum ar fi notificare pe e-mail cand sistemul de operare porneste, optiuni de ascundere a procesului in sistem sau dezactivarea automata a antivirusului.

SERVERUL. Este codul viral propriu-zis care infecteaza calculatorul si care permite accesul in sistemul compromis. Acesta este de obicei de dimensiuni foarte mici, pentru a putea fi transferat cu usurinta in calculatorul ce urmeaza a fi infectat si poate avea chiar plugin-uri pentru a-i extinde functionalitatea sau pentru a folosi trafic criptat, evitand astfel sistemele de detectie, firewall-ul sau antivirusii. Cea mai rapida metoda de a verifica daca sistemul tau a fost compromis de un program de tip troian este sa folosesti un antivirus si un firewall. Acestea pot fi inutile in cazul in care in calculator exista deja un troian inainte sa instalati un antivirus. Troianul poate dezactiva antivirusul din momentul in care acesta incearca sa porneasca. Pot exista troieni care nu sunt publici, pe care antivirusul nu ii are inca in baza de date sau care au fost recompilati pentru a pacali sistemele euristice de detectie.

CUM SCAPI DE UN TROIAN. Pentru a scapa de majoritatea troienilor nu este nevoie decat de un antivirus sau de un firewall care sa blocheze accesul la internet al acestora, iar conexiunile printr-o retea LAN limiteaza oarecum functionalitatea unui program de acest fel. Lipsa unui IP propriu face imposibila conectarea directa pe IP, asta in cazul in care serverul troian nu a fost configurat sa initieze el conexiunea catre atacator. Un firewall este cea mai buna metoda de protectie impotriva acestor programe, ele refuzand accesul unui posibil server troian - unele identifica traficul dintre un server troian si un client automat.

CUM AFLI

Poti gasi troienii "manual" ruland editorul de registri, folosind comanda Start / Run / "regedit": HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/explorer/Usershell folders HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrenVersion/RunServicesOnce HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce Aceste cai din registrii sistemului sunt cele mai frecvente locuri folosite de troieni pentru a se initializa.